介绍
我在尝试找到一种方法来构建对所有人开放的去中心化和同步数据库结构时遇到了这种情况。由于源代码和数据库都是公开的,我需要找出是否有办法实现安全的用户身份验证系统。如果没有,我想知道为什么不 (这不是那么明显)。
我的想法是下一个:
假设我强制要求用户使用带有数字、大写字母和符号的密码(使其随机化,因此它不会出现在任何字典中)。如果我再使用唯一性最大的散列方法,破解这个密码的可能性就会很小。
主要问题:
- 破解字典也可能满足那些随机奇怪的密码。
- 即使破解的可能性很少,破解者也有他们想要的所有时间。
必须有一个替代方案:
也许我必须改变传统的用户/密码方法,并弥补一些不同的东西。一种解决方案可能是每次都向用户的邮件发送一个临时访问链接(除了他自己之外没有人知道密码),但这不是访问网站的好/舒适的方式。
谢谢阅读。如果你认为我正在尝试一些愚蠢的事情,请告诉我,我会很高兴(但我也很感激我的愚蠢表现)。真的谢谢。
编辑:我知道我可以使用第三方服务,比如OpenId ......但这对我来说也是一个好奇的问题;)