보안, 개인 정보 보호 및 익명 성을 중심으로 웹 기반 앱을 구축하고 있습니다. 이 앱의 주요 원칙 중 하나는 사용자가 민감한 데이터 을 익명으로 저장할 수 있다는 것입니다..익명 인증을 구현하는 방법은 무엇입니까?
결과적으로 OAuth 또는 OpenID를 사용하여 시스템 인증을 완전히 아웃소싱 할 것으로 예상됩니다.
이것도 가능합니까? 내 이메일 주소 나 다른 종류의 사용자 식별 정보를 저장하는 것을 피하고 싶습니다.
몇 년 전에 내 친구가이 작업을하고있었습니다. 그의 아이디어는 전자 메일 주소와 엄지 손가락 또는 지문을 고유 한 이미지에 해싱하는 것입니다 (생체 인식 데이터는 비트 스트림이며 이론적으로 "123456"과 같은 인간 입력 암호와 비교하면 상당히 독창적입니다).
그 이미지는 그 사람의 장치에 자신의 암호 나 비트 록커를 사용하여 저장하거나 물리적으로 인쇄하여 잠글 수 있습니다. 이미지는 웹캠에 표시되거나 업로드 될 때 키의 일종으로, QR 코드의 역전 일 수 있습니다.
물론 이미지 생성이 잠재적 인 추적 지점이 될 것입니다. 그러나 완전히 메모리 또는 자유롭고 광범위하게 배포되는 키 생성 도구를 통해 수행 된 것이라면 원래 사용자의 데이터 또는 ID를 공개해야하는 법적인 보호를받을 수 있습니다.
생체 인식 데이터 스트림들이 촬영하고 때마다 약간 다릅니다 : 는
편집 (이 모든 생체 인식 스캐너 및 모든 주위 보안 연결의 광범위한 사용에 대한 필요성 얼버무). 이처럼 스트림을 해시하는 경우 "비밀번호 복구"가 없으므로 결코 동일하지 않습니다. 대부분의 차원을 줄이면 보안 성이 훨씬 떨어지며 재현 할 수없는 기회가 남을 수 있습니다.
먼저 OAuth는 프로젝트 범위와는 완전히 다른 것입니다.
나는 그것이 "익명"의 정의에 달려 있다고 생각합니다. OpenID를 사용하는 경우 사용자의 OpenID URL을 저장하게됩니다. 즉, 사용자의 시스템이 사용자의 OpenID처럼 정확하게 익명화됩니다.
더 많은 본질적으로 익명의 솔루션은 단순히 사용자가 임의의 문자열을 입력하여 자신을 식별하도록하는 것일 수 있습니다. 돌아 오는 사용자는 같은 문자열을 다시 입력하기 만하면됩니다. 사용자의 "ID"를 표시하려면 해시 함수를 통해 해당 문자열을 실행할 수 있습니다. 등록이 필요하지 않습니다 (4chan의 안전한 tripcode와 다르지 않음).
생체 인식 데이터의 독특한 스트림을 얻는 데 어려움이 있습니다 ... 누군가의 아바타 이미지 나 대형 세트에서 선택한 이미지를 비밀번호와 함께 해시 할 수 있습니다 (아마도 가장 좋음). 패턴이있는 인코딩 된 문자 대신 이미지의 색상 값을 사용합니다. –
대형 이미지 세트에서 선택하는 것은 대부분의 은행이 비밀번호 입력 필드와 함께 제공하는 것과 같으며 중간 보안이 강화 된 보안과 비밀번호를 비교하는 것입니다. 아바타 또는 업로드 된 이미지 옵션은 보안과 대폭 강화 된 보안을 제공하지만 해시를 사용하여 이미지가 생성 된 이미지를 고유하게 식별 한 다음 해당 이미지의 소유자를 찾을 가능성이 매우 낮습니다. –