Me gustaría usar un UUID / GUID V4 para autenticar usuarios. Para ser específico, el usuario tendría que pegar el UUID en un campo de texto para obtener acceso a su cuenta. El UUID se les entregaría en el momento de la inscripción. El UUID se combinaría con un nombre de usuario (público) al authing.
Supongamos que existen prácticas de seguridad normales (SSL, DB que contiene los UUID están encriptados, protección contra ataques de fuerza bruta, UUID no se pasaría en una URL, etc.). Supongamos que la aplicación no es para nada extremadamente importante (banca) sino que sigue siendo bastante importante (pretenda que son nombres de dominio, por el bien del argumento). No se preocupe por los problemas de usabilidad que pueda tener el usuario. Solo me preocupa la seguridad.
- Dado lo anterior, ¿sigue siendo una mala idea?
- ¿Crees que esto es menos seguro que el nombre de usuario / pase?
- ¿Sería más seguro cerrar dos UUID juntos?
Mi objetivo aquí es no almacenar datos personales de ningún tipo (correo electrónico / pase). Mi esperanza es que esta sea una alternativa viable.