วิธีใช้งานการลงชื่อเข้าใช้อัตโนมัติอย่างปลอดภัย
ฉันได้อ่านหลายกระทู้หลายโพสต์ว่า "คุณอาจเก็บรหัสผ่านผิด" พวกเขามักจะหมายถึงการจัดเก็บรหัสผ่านบนเซิร์ฟเวอร์ที่ผู้ใช้เข้าสู่ระบบ; พวกเขาโดยทั่วไปทำใหม่ (ปุนตั้งใจ) คำแนะนำที่แพร่หลายเช่นให้แน่ใจว่าใส่เกลือรหัสผ่าน ฯลฯ ฯลฯ อย่างไรก็ตามฉันไม่เคยเห็นบทความเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดเก็บรหัสผ่านบนไคลเอนต์เพื่อให้ลูกค้าไม่ต้องเข้าสู่ระบบ ทุกครั้งที่ต้องการล็อกอินด้วยตนเองทุกครั้ง คุณลักษณะ "จดจำฉัน" ซอฟต์แวร์หลายชิ้นมีคุณสมบัตินี้ตั้งแต่เบราว์เซอร์ไปจนถึงโปรแกรมอย่าง Dropbox เมื่อเร็ว ๆ นี้ฉันได้อ่านบทความเก่าเกี่ยวกับวิธีที่ Dropbox จัดเก็บ ID บนคอมพิวเตอร์ของคุณซึ่งคุณสามารถคัดลอก / วางไปยังคอมพิวเตอร์เครื่องอื่นแล้วเริ่ม Dropbox และเข้าสู่ระบบในฐานะอุปกรณ์ที่คุณได้รับ ID ไม่มีการเข้าสู่ระบบไม่มีอะไรและเข้าถึงบัญชี Dropbox ได้อย่างสมบูรณ์ ดูเหมือนว่าการออกแบบที่โง่จริงๆ แต่ฉันไม่สามารถคิดวิธีที่ดีกว่านี้ได้ ฉันไม่แน่ใจด้วยซ้ำว่าจะหลีกเลี่ยงการเก็บบางสิ่งเช่นคุกกี้ในข้อความล้วน หากคุณเข้ารหัสคุณจะเก็บกุญแจไว้เพื่อถอดรหัสที่ไหน วิธีเดียวที่ฉันเห็นว่าไม่แนะนำช่องโหว่ด้านความปลอดภัยคือการลบคุณลักษณะ autologin และทำให้ผู้ใช้พิมพ์รหัสผ่านทุกครั้งที่ต้องการใช้บริการ แต่นั่นเป็นการต่อสู้ที่ใช้งานง่ายและผู้ใช้มักจะถูกคาดหวังว่าจะไม่ต้องทำเช่นนั้น ฉันจะอ่านอะไรเกี่ยวกับการจัดเก็บข้อมูลประจำตัวในท้องถิ่นอย่างปลอดภัยเพื่อใช้คุณสมบัติการเข้าสู่ระบบอัตโนมัติ? หากหลักการเรียบง่ายเกินไปสำหรับบทความทั้งหมดมันคืออะไร? ซอฟต์แวร์ที่เป็นปัญหาไม่ควรขึ้นอยู่กับฟีเจอร์ที่ไม่มีในทุกแพลตฟอร์ม (เช่น "keychain" บางตัวมีการแจกแจงลินุกซ์)