私は、ユーザーの身元を完全に匿名に保つ方法を検討していたWebアプリケーションに取り組んでいます。ユーザーを匿名で保持する - セキュアなDBのみのオプション - 一般的な考え方?
私は結論に来ているしかし、あまりにも多くの私にできることはありません - ハッキングされてからデータベースを確保する上濃縮物を除きます。
これは一般的なStackOverflowのコンセンサスですか、私が逃した方法はありますか?
だから私は考えた:
- ストレートbcryptのハッシュと塩しかし、これはその後、さまざまな理由でユーザに接触につながります。
- パスワードリセット。私は回復質問/回答を保存することができますが、もちろん答えは物事を敗北させるように読解可能である必要があります。
- もう1つのポイントは、セキュリティに関する質問や登録時に生成したユーザー名を忘れてしまったということでした。それらをアカウントにリンクする方法はありません。
- また、(私が上記を克服したと仮定して)重複したユーザーを制限することになった。もし私がハッシュ/塩漬けして検索すると、処理にかなり重いでしょうか?私は単に使用された電子メールの長いリストを保持することができますが、問題を再び既存のアカウントにリンクしていますか?
あなたの考えを聞くことに興味があります。
ありがとうございました。
あなたは、ユーザーが電子メール/パスワードでログインし、システムがすべての個人情報を暗号化して識別できないようにしたいと思っていますか? –
ユーザー検証にSqrlを使用することを検討できます。 https://www.grc.com/sqrl/sqrl.htm。システムは、公開鍵暗号を使用して、パスワードの代わりにユーザーセッションに署名します。クライアントシークレットから派生したキーに基づいてユーザーを識別します。パスワードを忘れてしまっても、このようにする必要はありません。失われるパスワードがないためです。私はそれを試していないが、彼のポッドキャストでスティーブギブソンを聞いてから、それはうまくいくと思われる。 –
@AaronFrancoはいそうです。 – userMod2