Mali slatki login trik

Kako napraviti simple-fast login?
… tako da kada korisnik nakuca lozinku, da ga ulogira onog momenta kada natipka ispravnu lozinku. Bez ikakvog delaya i provjere sa serverom…i potrebe da uopće klikne “enter” ili “login” button …nego ono, čim nakuca ispravnu lozinku da dobije poruku komfirmacije.

I naravno, da se ne naruši sigurnost da išta postoji na klijentu što bi moglo komprimitirati login proceduru. :slight_smile:

Ekšuali je dosta jednostavno, ali me čisto zanima hoće li ajmemeni uspjeti skužiti. xd

EDIT: disclajmer …ipak ne valja xd. Kako god da se napravi, olakšava hackeru da može vrtiti bruteforce metodu bez upita na server … a onda ima pokušajeva koliko hoće i prije ili kasnije može provaliti svaki password. Heh…

A da mu dodaš 3 puta pogrešna lozinka ban na 1h :smiley:

Uz ovaj gore (doduše ne baš prekoristan) feature da se vefifikacija obavi bez ikakvog delaya… znači u potpunosti na clientu bi se morala odraditi. U tom slučaju ti ne možeš uvijek brojati koliko je on pokušajeva radio.

Zato jer ako se verifikacija obavlja na clientu…to znači da su u njegovom browseru svi podaci potrebni da odrade verifikaciju, koje on može pronaći uz malo inspektanja.

Kad ih pronađe, on ne mora vrtiti brute force u browseru… uzme te podatke i zavrti petlju gdje god. Može u drugom javascript programu… može u pythonu ako želi … i ti nemaš pojma ako je odradio i milijon iteracija passworda da ispita gdje će ga ta verifikacija propustiti…

Tako da taj pristup nikako ipak nije dobar, unatoč što se podaci za verifikaciju mogu tako posložiti da se iz njih ne može direktno isčitati koji je password…

Nemoguća misija.
Što god da je na clientu se može razbiti.

Iz sigurnosne perspektive, hendlanje autentifikacije na klijentu je jako loše :slight_smile:

Možda bi se dalo poigrati sa WebAssemblyem i “zaštititi” to malo bolje, al čisto sumnjam.

Al čemu lozinka uopće? Danas svi imaju mobitele sa biometric senzorima i two way autentifikacija bi trebala biti pod normalno.

Npr. Ako sam se već logirao na tvoj page, drugi put kad dođem, automatski mi pošalji notifikaciju na mob koju mogu potvrditi samo sa otiskom prsta/ face id. Nakon potvrde, logiran sam. Jednostavno, a sigurno.

Ne znam za vas, ali meni je tlačno ispunjavati bilo kakve formulare.


Copyright © 2020 WM Forum - AboutContact - Sponsored by: Mydataknox & Profit Monkey