ฉันจะใช้คุณสมบัติเข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่านอย่างปลอดภัยได้อย่างไร

เพิ่งโพสต์ปลั๊กอินใหม่: ไม่มีรหัสผ่านอีกต่อไป

ขณะนี้ฉันติดแท็กเบต้าแล้วเนื่องจากการเข้าสู่แพลตฟอร์มเป็นปัญหาที่ละเอียดอ่อนและฉันไม่ต้องการเผยแพร่สิ่งที่อาจมีช่องโหว่ด้านความปลอดภัย ดังนั้นนี่คือคำถามของฉัน:

ปลอดภัยไหม

ฉันได้ทำสิ่งต่อไปนี้เพื่อความปลอดภัยแล้ว:

1. ชื่อผู้ใช้ / รหัสผ่านจะไม่ถูกส่งกลับไปกลับมาเพียงแฮชที่ไม่ซ้ำกัน
2. แฮชจะถูกลบออกจากฐานข้อมูลเมื่อมีการใช้งานแฮชเก่าที่ไม่ได้ใช้จะไม่สามารถใช้งานได้เว้นแต่ว่าฐานข้อมูลถูกแฮ็ก แต่คุณมีปัญหาที่ใหญ่กว่า
3. เคียวรีฐานข้อมูลทั้งหมดของแฮชได้รับการหลบหนีเพื่อป้องกันการโจมตี XSS
4. nonce เพิ่มการโทร ajax
5. ไม่เพิ่มและการยืนยันที่เพิ่มลงในปลายอุปกรณ์เคลื่อนที่เพื่อป้องกันการโจมตี CSRF

ที่นี่ผมมีคำอธิบายที่สมบูรณ์แบบของวิธีการทำงาน

รุ่นถัดไปฉันหวังว่าจะใช้ oauth ผ่านทาง Twitter เนื่องจาก iOS ตอนนี้ทำงานได้ใน ...

ขอบคุณสำหรับการป้อนข้อมูลของคุณล่วงหน้า

แก้ไข: ฉันตัดสินใจว่าเป็นเลเยอร์ที่เพิ่มฉันจะเพิ่มการตรวจสอบ sessionID เพื่อให้แน่ใจว่าเป็นเบราว์เซอร์เดียวกันในการเข้าสู่ระบบเป็นเบราว์เซอร์ที่เริ่มต้นการเข้าสู่ระบบรหัส QR

(ฉันเป็นผู้ดูดสำหรับแผนการเข้าสู่ระบบทางเลือก)

nitpicking บางส่วนเกี่ยวกับการหลบหนี DB:

• คุณใช้mysql_real_escape_string()โดยตรง วิธีการที่ต้องการใช้หรือ$wpdb->prepare()esc_sql()

• คำค้นหา UPDATE ได้รับการจัดการที่ดีที่สุด $wpdb->update()

ฉันคิดว่ามันเป็นความคิดที่ดี แต่เช่นเดียวกับจุดอ่อนที่ใหญ่ที่สุดคือปัจจัยมนุษย์ในกรณีนี้มันจะเป็นโทรศัพท์ที่ถูกขโมยถูกขโมยหรือถูกดัก คุณคิดเกี่ยวกับการเพิ่มการรับรองความถูกต้องแบบสองชั้นเช่นรหัสยืนยันทาง SMS (เช่น gmail เป็นต้น) หรือทางเลือกที่ง่ายกว่านั้นก็คือคุกกี้ + คำลับ

นอกจากนี้คุณสามารถพูดถึงอัลกอริทึมที่สร้างรหัส QR ในหน้าเกี่ยวกับของคุณ?