Cómo implementar la autenticación sin contraseña en un sitio web

Navega tus respuestas
19

En una respuesta a esta pregunta sobre el restablecimiento de pw , D.W. dice:

  

Por último, considere la autenticación sin contraseña. Las contraseñas tienen muchos problemas como mecanismo de autenticación, y puede considerar otros métodos de autenticación de usuarios, como el almacenamiento de una cookie persistente segura en su equipo con un secreto indiscutible para autenticarlos. De esta manera, no se puede olvidar una contraseña y no se puede falsificar al usuario, aunque sí necesita proporcionar una forma para que el usuario autorice el acceso desde una nueva máquina o un nuevo navegador (posiblemente por correo electrónico a los usuarios que lo soliciten previamente). dirección de correo electrónico registrada).

¿Cómo se hace eso? ¿Qué tan segura y fácil de usar es esta solución? ¿Cuáles son los principales inconvenientes?

    
pregunta JDelage 21.05.2011 - 01:22
fuente

4 respuestas

8

En casi todos los casos en los que haces clic en "Recordarme", esto ya está sucediendo en tu computadora. Una cadena aleatoria de caracteres se almacena en una cookie y se vincula a su cuenta. La razón por la que se requiere más que esto tiene que ver con la movilidad. Si cambia de computadora, ¿cómo vuelve a iniciar sesión sin el nombre de usuario / contraseña estándar? Los usuarios simplemente no llevan sus cookies con ellos.

En el caso de la sugerencia de correo electrónico, puede enviar un código aleatorio que se puede ingresar en un campo de formulario, o incluso hacer clic como enlace. Para algún nivel marginal de seguridad incrementada, expiraría esos enlaces de clic después de un tiempo y almacenaría un código aleatorio diferente como la cookie.

    
respondido por el Jeff Ferland 21.05.2011 - 03:16
fuente
6

Puede encontrar este artículo académico de interés: Ceremonias condicionadas seguras y un Estudio del usuario de una aplicación para la autenticación web . El documento describe una forma de usar cookies permanentes y seguras para la autenticación y para permitir que las personas registren una nueva máquina mediante un enlace de correo electrónico. No es de ninguna manera la única manera, es solo un ejemplo, y probablemente hay muchas otras formas posibles de hacer algo en este sentido.

    
respondido por el D.W. 21.05.2011 - 10:46
fuente
6

Hay tres formas de autenticar una identidad: según lo que tiene (teléfono, dispositivo), o lo que sabe (una contraseña, una historia) o lo que es (su huella dactilar, exploración de la palma de la mano). Lo último es inutilizable en un contexto remoto.

Por lo tanto, tu pregunta es sobre el uso de una alternativa a lo que sabes. Es decir, usar lo que tienes (generalmente limitado en el tiempo). Por lo general, esto implica tokens o una contraseña de tiempo.

Vea algunos de estos: enlace , enlace , y enlace .

Son tan seguros como tener un teléfono (y perderlo). Es bastante amigable.

    
respondido por el Nam Nguyen 21.05.2011 - 03:06
fuente
0

He conocido un proceso de autenticación bastante bueno y sencillo de este servicio . Utiliza el número de su teléfono móvil para enviar una contraseña única a través de SMS.

    
respondido por el garik 13.02.2012 - 21:17
fuente

Lea otras preguntas en las etiquetas

¿Es seguro mi plan de actualización de JWT? ¿Qué clave de firma debo usar para certificar las claves públicas de otras personas: maestra o subclave?