Busco orientación sobre tema interesante. Recientemente he estado buscando alternativas de contraseña, no por seguridad, sino para ser más fáciles de usar .
En uno de mis proyectos, el usuario recibe 128 bits base64
de sal codificada como token de seguridad, que podría transmitirse de forma segura a través de redes sociales, mensajeros, sms, etc. Cuando el usuario decide realizar ciertas acciones, ingresa a esta sal pública junto a con contraseña secreta.
Ahora, este sal de 22 caracteres aleatorios parece desagradable y no tiene sentido para el usuario final, es difícil distinguir un token de seguridad de otro (el usuario puede tener muchos), pero es fácil de enviar, ya que es solo una cadena.
Mi idea general es:
- Al usar una imagen de 128x128, cada píxel de esta imagen está enlazado de alguna manera con
valor correspondiente de
base64
con referencia al siguiente píxel de un secuencia (detalles actualmente irrelevantes), para producir algo que parece el código QR de la sal; - Agregando, digamos, gravatar como segunda capa sobre ella, para que sea reconocible visualmente.
Mis preguntas:
- ¿Es este enfoque razonable desde el punto de vista de la usabilidad? Sus Supongo que es más difícil enviar una imagen que una cadena.
- ¿Hay alguna otra manera de hacer que la sal se vea más fácil de usar?
Buscó por todas partes por respuesta. Apreciaría enormemente cualquier ayuda.
ACTUALIZACIÓN # 1
Encontré un ejemplo en Defuse Security , que generalmente refleja el esquema que se implementa en mi proyecto:
Como resultado del proceso de cifrado, el usuario final obtiene el enlace y la ruta en realidad representa salt - OwkXSVW8R5NTv3jGyAvnjy
. Este es el material feo que quiero transformar en imagen, por lo que será seguro, pero aún así será fácilmente distinguible para los usuarios, por lo que mis preguntas seguirán siendo relevantes.
Espero que esto ayude a descubrir cómo.
ACTUALIZACIÓN # 2
Creo que esa pregunta es mal entendida.
En mi proyecto, el usuario tiene la contraseña habitual, y algo de sal, persistió en la base de datos, pero esa sal solo se usa como identificador. Entonces, la sal no es algo que deba mantenerse en secreto, y en general, la sal no es un secreto. De la respuesta de Andrew Hoffman , a menos que tenga memoria fotográfica, sal es algo que tiene , y la contraseña es algo que sabe .
Pero el problema es que la sal no es fácil de usar , parece pesada y es difícil distinguir varias de estas sales de un vistazo. Con eso creo que lo que la sal puede transformarse para que se vea y se sienta bien. Por ejemplo, como Google ReCaptcha de la versión 1 y la versión 2 : cumple la misma tarea, pero un simple clic es más fácil de usar que ingresar algunos símbolos de la imagen.
No quiero estar molesto con esa pregunta, pero, por favor, acepte el hecho de que no estoy inventando mi propio mecanismo de derivación de sal o sistema de seguridad.