LINUX.ORG.RU

Проверка истинности пользователя


0

1

Заполненная таблица с информацией по пользователям:
id, ФИО, дата рождения, номер паспорта.
Пользователь при первой регистрации вводит все кроме id.
По базе проверяем полное совпадение данных и программно
можем считать id (аналог пароля).

Можно ли записать id и номер_паспорта в cookie и по ним
автоматически определять истинность пользователя?

Проблемы защиты от подбора пароля:
- номер паспорта имеет заранее определенный формат и может
использоваться при подборе id.
- если блокировать подбор id по кол-ву попыток на паспорт,
то злоумышленник может заблокировать всю базу
перебором всех комбинаций паспортов.
- попытки подбора логировать и далее отключать клиента
с помощью fail2ban. Сеть за proxy вся отключится или сейчас
не актуально?

а почитайка ты закон о персональных данных, у вас в ЭрЭфии его недавно вроде приняли. Заодно про https.

guilder ()

> Можно ли записать id и номер_паспорта в cookie и по ним автоматически определять истинность пользователя?

Можно. Но эту информацию легко украсть и потом подделать.

Проблемы защиты от подбора пароля

Бан по ip на час. Если номеров достаточно много и они выдаются не тупо подряд, то этого более чем достаточно. А если номеров теоретически более 10^100, то даже перебор со всех ip v4 будет до конца эпохи классических компьютеров.

- попытки подбора логировать и далее отключать клиента

с помощью fail2ban. Сеть за proxy вся отключится или сейчас не актуально?

Сейчас неактуально.

soomrack ★★★ ()
Ответ на: комментарий от guilder

К чему сказал?
Дата рождения и паспорт храним только по две цифры из числа.
Нельзя провести идентификацию человека, значит не перс.данные.
Можно разрешение на обработку данных спрашивать при регистрации.

https - может перебор остановить?

WinLin2 ()

Не держите в куках полные данные. Держите соленый хеш, например. Или при входе выдавайте ИД сессии, в куках храните этот ИД, ограничьте 1 ИД сесии = 1 IP-адрес, тогда кража будет бесполезна.

От перебора да, fail2ban простейший юзать можно

amomymous ★★★ ()
Ответ на: комментарий от WinLin2

насколько я помню у вас в паспортах только 1 номер т.е. серия(4) и номер(уже непомню). по этому номеру можно идентифицировать человека.

а сказал я к к тому, что если есть закон может быть и ответственность.

шифрование как минимум затруднит.

guilder ()
Ответ на: комментарий от aedeph

Должны регистрироваться только реально существующие люди,
поэтому сверяем ввод пользователя с базой данных.
Нашли его id.
Далее работаем и желательно второй раз уже ничего не спрашивать.

WinLin2 ()

а ещё забыл, паспарта бывают ох какие разные...

guilder ()
Ответ на: комментарий от WinLin2

Если у вы негосударственная организация и используете реальные паспортные данные, то сбор подобных данных может быть уголовно-наказуемым. Если нужна связка с реальностью — используйте банковские карты, пусть те, кто регистрируются совершают микроплатеж. Это общепринятая мировая практика. Опять же, это тест на совершеннолетие.

soomrack ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.