我正在开发一个系统,该系统要求用户使用他们在网站上创建的帐户登录设备。身份验证将通过 HTTPS,因此这不是问题。设备上运行的应用程序将允许使用链接到其帐户的信用卡进行应用程序内购买,因此登录凭据足够安全很重要,这样就很难使用蛮力攻击。唯一的问题是用户将使用的设备将具有有限的用户输入功能(主要是方向键和选择按钮)。
在这种情况下,典型的用户名/密码可能太麻烦而无法输入,还需要开发可通过箭头键导航的屏幕键盘。用户最终可能会创建容易破解的简单密码。但是,一旦登录,用户将在后台使用访问 token ,因此他们可能不需要多次输入密码。
第一步是用户需要输入他们的用户名或 ID 号。使用数字可能更容易输入,但也更容易猜测。我也愿意接受这方面的建议。
接下来是输入“密码”的过程。所以这里有一些我的想法,但我不是密码学专家,所以我不知道如何衡量安全级别。
这就是我到目前为止所拥有的。你怎么看?当涉及应用内购买时,如何创建简单但安全的登录?
最佳答案
我一直在处理有限的用户输入能力场景。您能描述一下您的应用程序在哪个平台上运行吗?根据平台安全模型来适应解决方案是很有帮助的。
更新:我希望您没有考虑每个设备的多用户方案。所以,我假设每台设备有一个用户。第二个假设是设备可能有一个唯一的序列号,可以通过一些 API 访问,并且序列号预先注册在服务器上。
在初始阶段,用户通过设备选择按钮生成一个随 secret 钥,应用程序确认 key 生成成功可能会显示序列号(用户可能需要注册序列号以进行后续配置)。在幕后,应用程序将带有序列号的新 key 发送到服务器。服务器使用数据库条目中的随 secret 钥更新其序列号。设备可以阻止进一步的 key 生成,也可以允许,直到它最终配置有专用用户。设备还会在本地数据库/文件中使用随 secret 钥保存序列号。然后,用户通过 Web 界面登录其帐户以配置设备。对于登录用户,服务器提供可用设备列表,用户可以选择属于她/他的特定设备并设置四位数的密码。服务器执行以下操作:
用户可以通过设备选择按钮同步密码 token 。要解锁应用程序,用户必须通过简单的数字屏幕输入 PIN 码。该应用程序使用 PIN 码和随 secret 钥(在开始时保留)并生成 PBKDF2 key 并解密 token 。 PBKDF2 可以帮助我们稍微减慢蛮力,但也可以强制执行基于时间或基于尝试的锁定。例如,经过一些跟踪,应用程序可以删除用户凭据并强制用户从头开始配置。
关于security - 如何在不需要键盘输入的情况下创建加密安全的身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18241318/