文件上传替代登录系统

Question

我想知道登录系统是否意味着必须上传某个文件，然后服务器验证这是否与存储在服务器中的文件相同将是有用的。

我一直在想，它的优点是，“密码”（文件）可能会很大（不必记住它）。

此外，这意味着你将不得不要求登录名。

另一方面，一个缺点是，你将不得不“随身携带”每个人都可以登录的文件。

我不想把它变成一个哲学而不是编程。

我想看到的可用性，安全性/安全漏洞等

这或类似的东西呢？

Answer 1

我绝对不是安全专家，但这里有一些想法。

这听起来有点类似于公钥加密。如果你看看它是如何工作的，我想你会感受到同样的问题。例如，请参见http://en.wikipedia.org/wiki/Public-key_encryption

除了用户不得不携带文件带来的挑战之外，另一个问题是如何保持该文件的安全。如果某人的电脑或拇指驱动器被盗？公钥加密的一种常见方法是对私钥进行加密，并要求输入密码才能使用它。除非您以需要此格式的表单提供文件，否则您将指望用户保护文件。即使你愿意依靠它们，也存在如何给他们提供他们需要的工具以保护文件的问题。

请注意，就像密码一样，如果用户使用其中一台从公共机器（可能存在各种间谍软件）登录，这些文件将很容易受到攻击。基于文件的系统是否可能在间谍软件下滑，因为他们可能没有在寻找它。然而，这与安全性并没有太大的区别。

此外，你会想确保你散列或加密系统上的文件。否则，您将会以纯文本形式存储密码，这将打开某人黑客入侵系统的可能性，然后能够以任何用户身份登录。

Answer 2

你所说的可以匹配two factor（密码+物理因素）身份验证系统的物理因素。但它不能代替密码，因为密码是你知道的东西&文件是你有。现在，如果你把密码变成文件，你正在失去一个因素，不知何故你必须补偿:-)也许使用something you are。