我想知道登录系统是否意味着必须上传某个文件,然后服务器验证这是否与存储在服务器中的文件相同是有用的。
我认为,就其优势而言,“密码”(文件)可能非常大(无需记住)。
此外,这意味着您必须要求登录名。
另一方面,一个缺点是你必须“随身携带”每个人都可以登录的文件。
我不想把它变成哲学而不是编程。
我正在努力查看可用性,安全性/漏洞等
这是类似的吗?
答案 0 :(得分:1)
我绝对不是安全专家,但这里有一些想法。
这听起来有点类似于公钥加密。如果你研究一下它是如何工作的,我想你会发现同样的问题。例如,请参阅http://en.wikipedia.org/wiki/Public-key_encryption
除了用户必须随身携带文件的挑战之外,另一个问题是如何保证该文件的安全。如果有人的电脑或拇指驱动器被盗怎么办?公钥加密的一种常见方法是加密私钥本身,并需要密码才能使用它。除非您以需要此格式的形式提供文件,否则您指望用户保护文件。即使您愿意依赖它们,也存在如何为它们提供所需工具以便保护文件的问题。
请注意,就像密码一样,如果用户使用其中一个从公共计算机(可能包含各种间谍软件)登录,则这些文件将容易受到攻击。这是一个悬而未决的问题,一个基于文件的系统是否会因为他们可能没有找到它而在间谍软件之下。然而,这与默默无闻的安全并无太大差别。
此外,您还需要确保对系统上的文件进行了散列或加密。否则,您将相当于以纯文本形式存储密码,这会打开某人攻击您的系统的可能性,然后能够以任何用户身份登录。
答案 1 :(得分:1)
你所说的可以匹配物理因素two factor(密码+物理因素)认证系统。但它不能代替密码,因为密码是你所知道的。文件是你的东西。现在,如果你把密码变成文件,你就会失去一个因素,不知怎的,你必须补偿:-)也许使用something you are。