文件上傳替代登錄系統

Question

我想知道登錄系統是否意味着必須上傳某個文件，然後服務器驗證這是否與存儲在服務器中的文件相同將是有用的。

我一直在想，它的優點是，「密碼」（文件）可能會很大（不必記住它）。

此外，這意味着你將不得不要求登錄名。

另一方面，一個缺點是，你將不得不「隨身攜帶」每個人都可以登錄的文件。

我不想把它變成一個哲學而不是編程。

我想看到的可用性，安全性/安全漏洞等

這或類似的東西呢？

Answer 1

我絕對不是安全專家，但這裏有一些想法。

這聽起來有點類似於公鑰加密。如果你看看它是如何工作的，我想你會感受到同樣的問題。例如，請參見http://en.wikipedia.org/wiki/Public-key_encryption

除了用戶不得不攜帶文件帶來的挑戰之外，另一個問題是如何保持該文件的安全。如果某人的電腦或拇指驅動器被盜？公鑰加密的一種常見方法是對私鑰進行加密，並要求輸入密碼才能使用它。除非您以需要此格式的表單提供文件，否則您將指望用戶保護文件。即使你願意依靠它們，也存在如何給他們提供他們需要的工具以保護文件的問題。

請注意，就像密碼一樣，如果用戶使用其中一臺從公共機器（可能存在各種間諜軟件）登錄，這些文件將很容易受到攻擊。基於文件的系統是否可能在間諜軟件下滑，因爲他們可能沒有在尋找它。然而，這與安全性並沒有太大的區別。

此外，你會想確保你散列或加密系統上的文件。否則，您將會以純文本形式存儲密碼，這將打開某人黑客入侵系統的可能性，然後能夠以任何用戶身份登錄。

Answer 2

你所說的可以匹配two factor（密碼+物理因素）身份驗證系統的物理因素。但它不能代替密碼，因爲密碼是你知道的東西&文件是你有。現在，如果你把密碼變成文件，你正在失去一個因素，不知何故你必須補償:-)也許使用something you are。