Làm cách nào tôi có thể triển khai an toàn tính năng đăng nhập không cần mật khẩu?

Chỉ cần đăng một plugin mới: Không có thêm mật khẩu

Hiện tại tôi đã gắn thẻ beta vì đăng nhập vào nền tảng là một vấn đề nhạy cảm và tôi không muốn phát hành thứ gì đó có thể có lỗ hổng bảo mật. Vì vậy, đây là truy vấn của tôi:

Có an toàn không?

Tôi đã làm như sau để đảm bảo an ninh:

1. Tên người dùng / mật khẩu không bao giờ được chuyển qua lại, chỉ có hàm băm duy nhất.
2. Hash được xóa khỏi cơ sở dữ liệu một khi nó được sử dụng, các băm cũ chưa được sử dụng trừ khi cơ sở dữ liệu bị hack, nhưng sau đó bạn gặp vấn đề lớn hơn.
3. Tất cả các truy vấn cơ sở dữ liệu của hàm băm đã được thoát để ngăn chặn các cuộc tấn công XSS.
4. nonce thêm vào cuộc gọi ajax.
5. nonce và xác nhận được thêm vào trên thiết bị di động để ngăn chặn cuộc tấn công CSRF.

Ở đây tôi có một mô tả đầy đủ về cách thức hoạt động .

Phiên bản tiếp theo tôi hy vọng sẽ triển khai oauth qua twitter, vì iOS hiện đã hoạt động trong ...

Cảm ơn cho đầu vào của bạn trước.

Chỉnh sửa: Tôi đã quyết định rằng với tư cách là một lớp được thêm vào, tôi sẽ thêm kiểm tra sessionID để đảm bảo rằng đó chính là trình duyệt đăng nhập giống như trình duyệt đã khởi tạo đăng nhập mã QR.

(Tôi là một kẻ hút các chương trình đăng nhập thay thế)

Một số trò đùa liên quan đến việc thoát DB:

• Bạn sử dụng mysql_real_escape_string()trực tiếp. Phương pháp ưa thích là sử dụng $wpdb->prepare()hoặc esc_sql().

• CẬP NHẬT truy vấn được xử lý tốt nhất bởi $wpdb->update()

Tôi nghĩ đó là một ý tưởng tuyệt vời nhưng như mọi khi điểm yếu lớn nhất là yếu tố con người, trong trường hợp này, chính điện thoại sẽ bị mất, bị đánh cắp hoặc bị chặn. Bạn đã nghĩ đến việc thêm xác thực 2 lớp, như mã xác minh SMS (như gmail, v.v.). Hoặc một thay thế dễ dàng hơn sẽ là một cookie + từ bí mật.

Ngoài ra, bạn có thể đề cập đến thuật toán nào đang tạo mã QR trong trang giới thiệu của bạn không?