Acabo de publicar un nuevo complemento: No más contraseñas
Actualmente lo tengo etiquetado como beta porque iniciar sesión en una plataforma es un problema delicado y no quiero lanzar algo que pueda tener agujeros de seguridad. Así que aquí está mi consulta:
¿Es seguro?
He hecho lo siguiente para garantizar la seguridad:
- El nombre de usuario / contraseña nunca se pasan de un lado a otro, solo el hash único.
- El hash se elimina de la base de datos una vez que se utiliza, los hash antiguos que no se han utilizado no pueden serlo a menos que la base de datos sea pirateada, pero entonces tiene problemas más grandes.
- Se han escapado todas las consultas de la base de datos del hash para evitar ataques XSS.
- nonce agregado a la llamada ajax.
- nonce y confirmación agregada en el extremo móvil para evitar el ataque CSRF.
Aquí tengo una descripción completa de cómo funciona .
Próxima versión Espero implementar oauth a través de twitter, ya que iOS ahora ha funcionado en ...
Gracias por su aporte de antemano.
Editar: decidí que, como una capa adicional, agregaría una verificación de Id. De sesión para asegurarme de que es el mismo navegador que inicia sesión que el navegador que inició el inicio de sesión del código QR.
Creo que es una gran idea, pero como siempre, la mayor debilidad es el factor humano, en este caso, sería el teléfono mismo perdido, robado o interceptado. ¿Ha pensado en agregar autenticación de 2 capas, como un código de verificación de SMS (como gmail, etc.). O una alternativa más fácil sería una cookie + palabra secreta.
¿También puede mencionar qué algoritmo está generando el código QR en su página acerca de?
fuente