मैं एक वेब ऐप पर काम कर रहा हूं जहां उपयोगकर्ता की पहचान पूरी तरह से अज्ञात रखने के तरीके पर विचार कर रहा था। हैक होने से डेटाबेस हासिल करने पर ध्यान केंद्रित छोड़कर -उपयोगकर्ताओं को बेनामी रखना - सुरक्षित डीबी केवल विकल्प - सामान्य विचार?
हालांकि मैं निष्कर्ष पर आए हैं, वहाँ बहुत ज्यादा मैं क्या कर सकते हैं नहीं है।
क्या यह स्टैक ओवरफ्लो पर सामान्य आम सहमति है या क्या कोई तरीका है जो मुझे याद आ सकता है?
तो मैं के बारे में सोचा:
- एक सीधे bcrypt हैश और नमक लेकिन इस तो विभिन्न कारणों के लिए उपयोगकर्ता से संपर्क करने की ओर जाता है।
- पासवर्ड रीसेट करता है। मैं वसूली प्रश्न/उत्तर बचा सकता हूं लेकिन फिर निश्चित रूप से उत्तर पढ़ने योग्य होने की आवश्यकता होगी ताकि चीजों को हराया जा सके।
- एक और बिंदु यह था कि वे उन सुरक्षा प्रश्नों या उपयोगकर्ता नाम को भूल गए थे जिन्हें मैंने पंजीकरण पर उत्पन्न किया था। उन्हें किसी खाते से जोड़ने का कोई तरीका नहीं है।
- यह भी ध्यान में आया (मान लीजिए कि मैंने उपरोक्त विजय प्राप्त की है) डुप्लिकेट उपयोगकर्ताओं को प्रतिबंधित कर रहा है। यदि मैंने खोज/नमकीन खोज के माध्यम से प्रसंस्करण पर काफी 'भारी' होगा? मैं बस इस्तेमाल की गई ईमेल की एक लंबी सूची रख सकता था लेकिन फिर फिर से इस मुद्दे को किसी मौजूदा खाते से जोड़ रहा था?
आपके विचारों को सुनना दिलचस्प है।
धन्यवाद।
क्या मैं यह सोचने में सही हूं कि आप चाहते हैं कि उपयोगकर्ता ईमेल/पासवर्ड से लॉग इन करें और फिर आप चाहते हैं कि आपका सिस्टम अपनी सभी व्यक्तिगत जानकारी एन्क्रिप्ट करे ताकि वे अज्ञात हों? –
आप उपयोगकर्ता सत्यापन के लिए Sqrl का उपयोग करने पर विचार कर सकते हैं। https://www.grc.com/sqrl/sqrl.htm। पासवर्ड के बजाय उपयोगकर्ता सत्र पर हस्ताक्षर करने के लिए सिस्टम सार्वजनिक कुंजी क्रिप्टो का उपयोग करता है। आप क्लाइंट गुप्त से ली गई कुंजी के आधार पर उपयोगकर्ता की पहचान करते हैं। इस तरह आपको पासवर्ड खोने के बारे में चिंता करने की ज़रूरत नहीं है। चूंकि खोने के लिए कोई पासवर्ड नहीं है। मैंने कोशिश नहीं की है, लेकिन स्टीव गिब्सन को अपने पॉडकास्ट पर सुनने से यह अच्छा लगता है। –
@AaronFranco हाँ यह सही है। – userMod2