Как реализовать такую проверку файлом?

Question

[Алексей Тутубалин]

Появилась идея для одного сайта реализовать проверку при авторизации загрузкой специального файла по принципу открытого и закрытого ключа, то есть человек выбирает авторизацию по паролю(для обычного пользователя) или по файлу(сертификату например, для админов) + пароль свой после шифрования, но что за файл брать я не знаю, я предполагал что файл будет хранится на пк админов который они вставляют в обычную форму загрузки файлов при авторизации если файл тот(именно для этого пользователя), то запрос пароля надо все это добро как то реализовать на чистом php при возможности. openssl по моему не подойдет так как по факту ничего шифроваться не будет это просто дополнительная проверка, или как то можно сравнить открытый ключ который хранится в базе(mysql) и закрытый который при каждой авторизации будет вставлять админ и получить ответ подходит ключ или нет что бы дальше знать куда перекидывать?

Answer 1

[Виктор Янышев]

Для своего велосипеда можно солить файлы

Comments

[Алексей Тутубалин]

Можно по точнее? Какой файл использовать? и как его потом сравнивать?

[Виктор Янышев]

Это я тебе предлагаю для содержимого файлов, https://m.habrahabr.ru/post/145648/

А вообще, в одной очень хорошей книге я читал что нефиг делать самопальные защиты, для этого есть умные люди и лучше юзать принятые нормы.

Answer 2

[Александр]

Существует готовое решение на подобные случаи. Называется "Двухфакторная авторизация".

Comments

[Алексей Тутубалин]

Мне хочется именно свой костыль, двухфакторная авторизация есть, тут больше смысл изучить эту тему в теории и на практике

[Александр]

Алексей Тутубалин, возможно это вам поможет.

Answer 3

[АртемЪ]

openssl по моему не подойдет так как по факту ничего шифроваться не будет

Насколько я понял вашу схему - вместо пароля или в дополнению к паролю использовать файл, то это получается тот же пароль по сути, поэтому передавать по открытому каналу его не следует, надо сначала установить защищенное соединение, поэтому таки openssl очень даже подойдет.

Хотя я честно говоря не понимаю для чего конкретно вам потребовался этот файл, и какие преимущества он должен обеспечить?

Comments

[Алексей Тутубалин]

Админов всего 5 человек определенный круг лиц, сертификат стоит

[АртемЪ]

Алексей Тутубалин, Все равно непонятно.
Для чего конкретно нужен вот этот файл? Что он даст?

[Алексей Тутубалин]

Админы сидят в одном кабинете и могут видеть пароли друг друга и совершать плохие действия с сайтом, ноуты у всех свои или под сложным паролем(зафиксированный факт)

[АртемЪ]

По сути насколько я понял вашу схему этот файл всего лишь довесок к паролю, этакий составной пароль.
И даст он только одно - пароль станет более длинным и сложным.
Если так то это не имеет смысла - достаточно просто использовать нормальный пароль, посложнее чем 123.

[АртемЪ]

Алексей Тутубалин,

Админы сидят в одном кабинете и могут видеть пароли друг друга и совершать плохие действия с сайтом,

Решается элементарно. Запретите админам вводить пароль руками.
Поставьте каждому админу хранитель паролей, например Keepass.
В результате админы будут вводить только мастер пароль к хранителю паролей, а пароль на сайт будет передаваться через буфер.

От того что другой админ подсмотрит пароль вреда не будет, без доступа к ноутбуку где хранится БД хранителя паролей.
Да и админам будет проще жить - не надо будет помнить все пароли и вводить их руками, только один мастер пароль.

Answer 4

[xmoonlight]

по файлу(сертификату например, для админов) + пароль свой после шифрования

SSL+секъюрный URL для админов с логином и паролем: проверка по REQUEST_URI и/или параметры какие-нибудь. Этого будет достаточно, чтобы никто кроме админов уже не смог войти, т.к. получается двойной "ключ": URL+пароль и всё внутри SSL.