Tôi đang làm việc trên một ứng dụng web đang xem xét cách giữ danh tính của người dùng hoàn toàn ẩn danh.Giữ người dùng ẩn danh - Tùy chọn chỉ dành cho DB an toàn - Suy nghĩ chung?
Tuy nhiên tôi đã đến kết luận, không có quá nhiều tôi có thể làm - trừ tập trung vào việc đảm bảo cơ sở dữ liệu khỏi bị hack.
Đây có phải là sự đồng thuận chung ở đây trên StackOverflow hoặc có bất kỳ phương pháp nào tôi có thể đã bỏ qua không?
Vì vậy, tôi nghĩ về:
- Một băm bcrypt thẳng và muối tuy nhiên điều này sau đó dẫn đến tiếp xúc với người sử dụng vì nhiều lý do.
- Đặt lại mật khẩu. Tôi có thể lưu câu hỏi/trả lời phục hồi nhưng sau đó tất nhiên các câu trả lời sẽ cần phải có thể đọc được để đánh bại mọi thứ.
- Một điểm khác là họ quên mất các câu hỏi bảo mật hoặc tên người dùng mà tôi đã tạo khi đăng ký. Không có cách nào để liên kết chúng với một tài khoản.
- Ngoài ra những gì đến tâm trí (giả sử tôi chinh phục ở trên) hạn chế người dùng trùng lặp. Nếu tôi băm/muối tìm kiếm thông qua sẽ là khá 'nặng' về chế biến? Tôi chỉ có thể giữ một danh sách dài các email được sử dụng nhưng sau đó vấn đề lại liên kết với một tài khoản hiện có?
Quan tâm để nghe suy nghĩ của bạn.
Cảm ơn.
Tôi có đúng khi nghĩ rằng bạn muốn người dùng đăng nhập bằng email/mật khẩu và sau đó bạn muốn hệ thống của mình mã hóa tất cả thông tin cá nhân của họ để chúng không thể nhận dạng được? –
Bạn có thể xem xét sử dụng Sqrl để xác thực người dùng. https://www.grc.com/sqrl/sqrl.htm. Hệ thống sử dụng mật mã khóa công khai để ký phiên người dùng thay vì mật khẩu. Bạn xác định người dùng dựa trên khóa xuất phát từ bí mật ứng dụng khách. Bằng cách này bạn không phải lo lắng về việc mất mật khẩu. vì không có mật khẩu nào bị mất. Tôi đã không thử nó, nhưng từ nghe Steve Gibson trên podcast của mình nó có vẻ khó khăn ra. –
@AaronFranco đúng vậy. – userMod2