У меня есть интересная проблема. Предположим, у нас есть пользователь, Боб, который входит в систему. Как может эта служба доказать личность Боба, предполагая, что Боб активно хочет других, чтобы попытаться изобразить его? Т.е. как мы можем быть уверены, что вход в систему - это действительно Боб?Как подтвердить идентификацию пользователя, когда пользователь WANTS других выдаст им?
- Использование MAC/IP-адреса Боба не будет работать, поскольку их можно легко подделать.
- Имя пользователя/пароль как средство аутентификации не будет работать, поскольку Боб может просто предоставить эти учетные данные кому-либо.
- Система с открытым ключом (например, с использованием RSA для подписания) не будет работать, поскольку Боб может просто поделиться своим личным ключом с кем угодно.
То, что я в основном нужно Боб иметь некоторое доказательство ID, что он не может делиться (или, по крайней мере трудно для кого-то еще, чтобы повторить, учитывая всю информацию, что у Боба).
Редактировать (в случае, если это полезно): Я работаю с приложением iOS (Bob) и веб-сервером Python (служба).
Что-то вроде маркера RSA, или зашифрованный ключ USB или карты, которая должна быть вставлена? –
@RonMaupin Для USB-ключа или карты - Боб мог просто отдать это кому угодно. Повторите токен RSA, не могли бы вы объяснить это еще немного? – Dotl
Боб мог отдать его, но тогда у Боб не было бы этого. Вероятно, этот вопрос лучше задать на [security.se]. –