这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
是不是能在 Web 服务上引入类似 SSH 的公钥认证的身份验证方式
KirbySD · 2021-07-31 01:23:00 +08:00 via iPhone · 2800 次点击这是一个创建于 1210 天前的主题,其中的信息可能已经有所发展或是发生改变。
当然不是说传统的用户名密码就要淘汰
在用户能保证自己所使用的私钥安全储存的情况下,以公钥认证来验证身份既能防止暴力破解,也能防止撞库吧
对于高级用户来说,还能省去手动鉴权的步骤
至于盗用用户设备,现行基于 cookie 的保持登录状态也不能很好地解决这一问题
唯一的缺点可能就是一旦私钥泄漏,所有网站立刻完蛋
在用户能保证自己所使用的私钥安全储存的情况下,以公钥认证来验证身份既能防止暴力破解,也能防止撞库吧
对于高级用户来说,还能省去手动鉴权的步骤
至于盗用用户设备,现行基于 cookie 的保持登录状态也不能很好地解决这一问题
唯一的缺点可能就是一旦私钥泄漏,所有网站立刻完蛋
 |
1
lcdtyph 2021-07-31 01:24:59 +08:00
你可能想要的是 https 双向认证?
|
 |
2
Yadomin 2021-07-31 01:30:21 +08:00 via Android
yubikey
|
 |
3
xiadong1994 2021-07-31 01:37:07 +08:00
热知识:HTTPS 支持客户端证书
|
 |
4
also24 2021-07-31 02:09:12 +08:00
|
 |
5
agagega 2021-07-31 02:14:46 +08:00 via iPhone
WebAuthn ?
|
 |
6
nvkou 2021-07-31 02:57:47 +08:00 via Android
现代浏览器支持 fido2 的。硬件钥匙
|
 |
7
ihacku 2021-07-31 04:11:00 +08:00 via Android
|
 |
8
blackcurrant 2021-07-31 08:37:26 +08:00 via iPhone
关键词 web3 , 以太坊.
目前 dapp 都是直接使用钱包登录。 |
 |
9
dingwen07 2021-07-31 10:35:03 +08:00 via iPhone
WebAuthn
|
 |
10
Xusually 2021-07-31 10:59:21 +08:00 via iPhone
从 2009 年我们就在用 https client cert verification 了
|
 |
11
KirbySD OP HTTPS 双向认证感觉和 SSH 很像,但还是要依赖 CA,SSH 只需要一个谁都能生成的公私钥对就行了(大概)
yubikey 之类的需要购买第三方硬件 webauthn.io 感觉像是整合?不过才发现 TPM 居然也能拿来认证,但对于多端不太方便 这些东西最大的问题感觉还是门槛太高不好推开 |
|
12
dingwen07 2021-07-31 21:37:16 +08:00 via iPhone
@KirbySD #11 WebAuthn 可以用 Windows Hello 、Face ID 等
|
|
13
KirbySD OP @dingwen07 我觉得内置在设备中的可信模块会导致用户更换平台时需要迁移(或者说重新建立关联关系),会提高用户的学习成本
不过确实很方便,比用户自行生成私钥之类的好很多 |
|
14
dingwen07 2021-08-01 01:17:23 +08:00 via iPhone
@KirbySD #13 所以说账号密码不可丢,WebAuthn 只是提高便捷和安全性(比如不可能钓鱼)
|
 |
19
sobigfish 2021-08-02 17:55:20 +08:00
证书登录很早就有啊,银行的 u 盾就是(私钥加密在硬件里)
|
Select Language