He estado leyendo cómo funciona la clave pública / privada SSH y se dio cuenta de lo útiles que son (eliminando la seguridad de la ecuación). Y comencé a preguntarme por qué los sitios web no implementan lo mismo.
Permítame explicarle por qué me interesa esto: cuando se registra en un sitio web, no sabe qué sucede con su contraseña, es muy posible que se almacene como texto sin formato en una base de datos. Cualquier administrador puede ver su combinación de nombre de usuario / contraseña (más correo electrónico o cualquier otra información) y simplemente probarlos en otros servicios et voilà , acceso limpio a su correo electrónico, Facebook, Stackoverflow, etc. La contraseña, incluso si no está almacenada, puede enviarse sin cifrar a través del cable al servidor y pedirla un hombre del medio. Todo esto se resuelve fácilmente utilizando un enfoque como el implementado por SSH, por ejemplo (o tener una contraseña diferente para cada servicio, pero mi memoria tiene limitaciones graves).
Por lo tanto, ¿cómo puedo implementar una estrategia de este tipo para iniciar sesión en un sitio web? No pude encontrar extensiones de navegador ni instrucciones sobre cómo hacerlo. Por el momento, mi objetivo es tener un sitio web para atender a ~ 10 personas (colegas, todos en la misma red) y a quienes puedo convencer para que realicen un trabajo adicional (como instalar una extensión o generar el par de claves).