Pgp
GnuPG 可以與登錄系統一起使用嗎?
我正在考慮為以下類型的網站登錄系統創建概念驗證。
在創建帳戶時,不使用密碼,而是將公共 GnuPG 密鑰上傳到伺服器,並作為使用者帳戶身份驗證的主要形式。要登錄,使用者將提供他們的使用者名。登錄應用程序將獲取使用者名公鑰,用他們的公鑰加密一個隨機字元串,使用者必須解密下載的文件,並使用解密後的字元串作為密碼。
該系統似乎有任何缺陷嗎?如果使用者能夠保守他們的密鑰秘密,我不明白為什麼這種類型的系統不可行。
你怎麼看?
GnuPG 可以與登錄系統一起使用嗎?
是的,有一些方法可以做到這一點。
但…
雖然可能,但有兩件事會立即出現在我的腦海中:
- 公鑰加密可能有點慢,這可能會或可能不會導致客戶端和伺服器上的資源問題……取決於同時嘗試登錄的使用者數量,以及您實現事物的方式。
- 從可用性和使用者體驗的角度來看,期望使用者解密文件以獲得臨時登錄密碼(如您所描述的)似乎不是很方便。然而,這並不意味著你的想法不可能作為“概念證明”……我只是認為它不太實用。畢竟,你在這裡給客戶端帶來了很多負擔(額外的解密工作,引入額外的步驟,因為客戶端首先需要下載加密的密碼文件,等等)——如果你再考慮一下你的想法——那就是如果您使用安全(閱讀:HTTPS)連接,則不必要。而且您需要這樣做,否則您的公鑰登錄冒險可能很容易成為 MITM 攻擊的目標。當然,您也可以嘗試解決這些問題……但是,如果有一個好的、安全的、
我會說這歸結為“僅僅因為你可以,並不意味著你應該”的情況。