Насколько безопасен такой способ авторизации пользователя?

Question

[Довольный Айтишникъ]

Заказчик хочет авторизацию без логина/пароля или через соц сети, а при помощи небольшого файла. Таким образом, пользователь, зайдя на страницу авторизации, указывает необходимый файл (допустимый размер будет ограничен). От этого файла вычисляются несколько параметров, например SHA1, SHA256, CRC64 и сравниваются с данными в базе (вопрос регистрации в данный момент не рассматриваем), если все данные совпадают то даем пользователю доступ.
Вопрос: насколько это безопасно?

Comments

[Толстый Лорри]

Какие вектора атаки вы предполагаете?

Это может быть даже секьюрнее, чем логин/пароль, ибо длина такого ключа может ощутимо выходить за границы человеческой памяти. Вопрос удобства юзера и человеческого фактора - это дело отдельного разговора.

[Довольный Айтишникъ]

Толстый Лорри, да вот и не могу придумать какой либо вектор, на вид все хорошо, но... вдруг не вижу чего то очевидного.

[Толстый Лорри]

Довольный Жизнью, всякого рода RCE не допускать (самостоятельно исполняя загруженное или динамически подтягиваемые плагины из общих директорий) и все будет так же безопасно, как и загрузка обычных картиночек.

Answer 1

[Андрей]

Безопаснее чем логин-пароль/авторизация через третьих лиц. Логин+пароль = ключ длинной до сотни байт (обычно).
Файл хотя бы в килобайт будет значительно безопаснее.

Comments

[Довольный Айтишникъ]

Думаю расчет параметров этого файла (SHA1 и т.п.) лучше сделать на стороне сервера, загрузив туда файл, а не на клиенте, чтоб скрыть что именно для авторизации рассчитывается. Верно ли мыслю?

[Андрей]

Довольный Жизнью, пароли лучше хешировать на стороне клиента, а вот с файлами - если в файлах нет информации, которую нужно скрыть от третьих лиц, то разницы где хешировать нет.

[l1l1l1]

Довольный Жизнью, да расчет только на сервере

[Андрей]

l1l1l1, почему?

[l1l1l1]

Андрей, ну как по мне лучше что бы никто не знал какие данные и параметры файла вы собираете и отправляете на сервер

[Андрей]

l1l1l1, может быть, но по идее это не должно снижать безопасность, особенно если хешей считается несколько.

[Довольный Айтишникъ]

Андрей, как мне кажется расчет на клиенте позволит осуществлять подбор отправляя несколько параметров серверу, а если все считает на сервере то только отправка файла и больше нет вариантов.

[Андрей]

Довольный Жизнью, пожалуй, да, для варианта с файлом безопасность снизится. Файлы лучше хешировать на сервере.

[Роман]

А по мне, все равно уступает двуфакторной аутентификации (авторизация это несколько иное)

[Довольный Айтишникъ]

Роман, ну, клиент хочет, особых причин отговаривать не вижу. Да, с понятиями слегка запутался

[Роман]

Довольный Жизнью, Осмелюсь предложить, аутентификацию по etoken ключу.

[Довольный Айтишникъ]

Роман, предлагал, не хочет. Мне же лучше, люблю нестандартное)))

[Роман]

Довольный Жизнью, Странно. Например можно создать json, где прописаны роли, шифровать его асимметричным алгоритмом и у вас и аутентификация и авторизация сразу.

Answer 2

[Роман]

В терминах разберитесь, авторизация - выделение необходимых прав, а аутентификация - распознание пользователя, проверка учетных данных. И двуфакторная аутентификация сильнее.

Comments

[Довольный Айтишникъ]

Согласен, вечно с ними путаюсь))