Заполненная таблица с информацией по пользователям:
id, ФИО, дата рождения, номер паспорта.
Пользователь при первой регистрации вводит все кроме id.
По базе проверяем полное совпадение данных и программно
можем считать id (аналог пароля).
Можно ли записать id и номер_паспорта в cookie и по ним
автоматически определять истинность пользователя?
Проблемы защиты от подбора пароля:
- номер паспорта имеет заранее определенный формат и может
использоваться при подборе id.
- если блокировать подбор id по кол-ву попыток на паспорт,
то злоумышленник может заблокировать всю базу
перебором всех комбинаций паспортов.
- попытки подбора логировать и далее отключать клиента
с помощью fail2ban. Сеть за proxy вся отключится или сейчас
не актуально?