Аутентификация пин-кода
Насколько безопасно использовать пин-код вместо пароля для аутентификации? Я проектирую небольшую CRM в Laravel 5.5 и пока не использовал никаких современных методов для создания безопасной системы входа в систему. Однако я бы предпочел, чтобы пользователи могли входить в систему с помощью пин-кода, а не пароля, поскольку это также проще в приложениях для iOS и Android, и это одна из причин, по которой Barclays является одним из моих любимых приложений. Было бы огромной помощью, если бы кто-то мог пролить свет и указать мне правильное направление. Спасибо 🙂
Решение
TL; DR: предыдущий сеанс должен существовать до того, как будет рассмотрен ввод записи.
Пин должен использоваться только после аутентификации пользователя. В случае нативного приложения устройство, на котором оно используется, обычно используется только одним (или очень немногим) человеком. Для первоначального входа требуется имя пользователя и пароль. Контакты в основном являются привратником к существующему сеансу.
После проверки подлинности пользователи могут назначить ПИН-код для своего сеанса (хранится на устройстве). Ввод пин-кода должен позволять только столько недопустимых попыток, чем неограниченных попыток. Это предотвращает возможность грубой силы или последовательной атаки / злоупотребления вводом булавки. Если ввод PIN-кода завершится неудачно после X попыток, вы очистите сеанс и связанные с ним данные, а затем снова запросите имя пользователя / пароль.
Как и в случае с паролями, не храните контакты в незашифрованном виде. Хеш их с рандомизированными солями, так же, как вы используете Hash фасад в Ларавеле.
(пожалуйста, добавьте к этому, если я что-то упустил!)
Другие решения
Ну, я полагаю, это относительно безопасно, конечно, это менее безопасно, чем реальный пароль из-за количества возможных комбинаций. Так что было бы относительно легче найти булавку. Ниже приводится сравнение количества комбинаций.
Если у вас есть пин-код, состоящий из 4 цифр, то существует 10000 возможных комбинаций. Я думаю, что большинство паролей длиной не менее 8 символов? Я не знаю, сколько разных символов можно использовать, но если его 72 (заглавные & в нижнем регистре & чисел & сдвиг комбинаций 0 — 9), тогда это уже привело бы к 72 ^ 8 возможным комбинациям, что составляет около 7,2 * 10 ^ 14 комбинаций. Так что, конечно, пароль намного безопаснее.
Но у меня есть некоторые идеи, которые могут дать вам некоторые идеи, вы можете установить максимальное количество попыток, как у большинства телефонов в наши дни. Так, например, если максимальное количество попыток равно 4, а вы вставили неправильный контакт 4 раза, он будет заблокирован и для разблокировки потребуется что-то вроде аутентификации электронной почты.
Можно также сказать, что вы не хотите ограничивать его только цифрами, а также добавлять заглавные и строчные буквы. Если длина пин-кода составляет 4 символа, то возможны 62 ^ 4 (26 (алфавит) + 26 + 10 = 62) возможных комбинаций, что составляет около 14,8 миллионов комбинаций. Что довольно много.
Я надеюсь, что это поможет вам немного, и удачи: D
(кстати, я не мог добавить комментарий, потому что у меня недостаточно очков)
detector