Autenticazione applicazione Web mediante Proprietà del computer

1

Introduzione:

Sono in procinto di creare un gioco basato sul web che richiede l'autenticazione dell'utente. La stragrande maggioranza degli altri siti di gioco utilizza il tipico metodo username / password per l'autenticazione degli utenti, tuttavia, sapendo che i giocatori sono in genere pigri, ho pensato di utilizzare un nuovo tipo di autenticazione che dovrebbe invece profilare ciascun computer degli utenti usando parametri come indirizzo IP locale, indirizzo hardware di rete (MAC), nomi dei font di sistema installati, tipo e versione del sistema operativo, tra le altre proprietà hardware e software per tentare di creare un'impronta digitale adeguatamente unica e difficile da impersonare che sarà legata tramite hash memorizzati in un database a un determinato account utente.

Domanda:

Esistono ovvie insidie per autenticare gli utenti in questo modo?

Questo, oltre a un numero pin di base, potrebbe essere sufficiente a proteggere gli account utente da un dirottamento da parte di altri utenti di computer-deidei?

Questa idea è nata da questo progetto: link

    
posta adv 20.04.2014 - 02:27
fonte

1 risposta

4

L'impronta digitale del browser è un'informazione pubblica per qualsiasi sito visitato dall'utente, quindi queste informazioni dovrebbero essere trattate semplicemente come "nome utente" e niente di più.

Il problema qui è se l'utente cambia computer, browser o impostazioni che potrebbero essere bloccati dal proprio account. Ci possono essere dei modi per aggirare questo, ma poi ti allontani dal tuo percorso di semplicità.

L'altro problema è con un PIN per una password. Quando si utilizza un PIN per una password, l'entropia viene significativamente ridotta e può essere facilmente forzata. A meno che tu non richieda ai tuoi utenti di avere un PIN di 20 caratteri, questo è altamente insicuro.

Questi sono grandi difetti con la tua idea, anche se è a dir poco originale. L'implementazione di questo dipenderà in realtà dalla natura del gioco, dagli utenti e dalla sicurezza richiesta. Non è un sistema in cui metterei FATTO QUALSIASI fiducia, ma se la fiducia è richiesta o meno dipende da te.

    
risposta data 20.04.2014 - 04:11
fonte

Leggi altre domande sui tag