Альтернативная система входа в систему с загрузкой файла

Question

Мне было интересно, будет ли полезной система входа в систему, которая подразумевает, что нужно загрузить определенный файл, а затем сервер проверяет, что она равна той, которая хранится на сервере.

Я думал, что в его пользу было бы, что «пароль» (файл) может быть довольно большим (без необходимости запоминать его).

Также это означало бы, что вам нужно будет указать имя для входа.

С другой стороны, одним из недостатков было бы то, что вам придется «переносить» файл, каждый из которых может войти в систему.

Я не хочу превращать это в философский, а не программный.

Я пытаюсь увидеть практичность, безопасность/уязвимости и т.д.

Является ли это или что-то подобное сделать?

Answer 1

Я определенно не эксперт по безопасности, но вот некоторые мысли.

Это похоже на шифрование с открытым ключом. Если вы посмотрите на то, как это работает, я думаю, что у вас возникнут такие же проблемы. Например, см. http://en.wikipedia.org/wiki/Public-key_encryption

В дополнение к проблеме, с которой пользователи должны переносить файл вместе с ними, другая проблема заключается в том, как сохранить этот файл в безопасности. Что, если украден какой-нибудь компьютер или флешка? Общим подходом с использованием шифрования с открытым ключом является шифрование самого закрытого ключа и использование пароля для его использования. Если вы не предоставите файл в форме, которая требует этого, вы рассчитываете, что ваши пользователи будут защищать файл. Даже если вы готовы рассчитывать на них, возникает вопрос, как предоставить им необходимые инструменты, чтобы они могли защитить файл.

Обратите внимание, что, как и пароли, эти файлы были бы уязвимы, если пользователь использовал их для входа в систему общего пользования (на нем могли быть всевозможные шпионские программы). Это открытый вопрос, может ли файловая система проскальзывать под шпионское ПО, поскольку они могут ее не искать. Однако это не так сильно отличается от безопасности от неясности.

Также вы хотели бы убедиться, что вы хэшировали или зашифровали файлы в вашей системе. В противном случае вы будете делать эквивалент хранения паролей в виде обычного текста, который откроет возможность того, что кто-то взломает вашу систему, а затем сможет войти в систему как любой пользователь.

Answer 2

то, что вы говорите, может соответствовать физическому фактору системы аутентификации two factor (пароль + физический фактор). Но это не может быть замена пароля, потому что пароль - это то, что вы знаете. & файл - это то, что у вас есть. Теперь, если вы включите пароль в файл, вы потеряете один фактор и как-то вам придется компенсировать это :-) Возможно, используя something you are.