Проверка истинности пользователя

0

1

Заполненная таблица с информацией по пользователям:
id, ФИО, дата рождения, номер паспорта.
Пользователь при первой регистрации вводит все кроме id.
По базе проверяем полное совпадение данных и программно
можем считать id (аналог пароля).

Можно ли записать id и номер_паспорта в cookie и по ним
автоматически определять истинность пользователя?

Проблемы защиты от подбора пароля:
- номер паспорта имеет заранее определенный формат и может
использоваться при подборе id.
- если блокировать подбор id по кол-ву попыток на паспорт,
то злоумышленник может заблокировать всю базу
перебором всех комбинаций паспортов.
- попытки подбора логировать и далее отключать клиента
с помощью fail2ban. Сеть за proxy вся отключится или сейчас
не актуально?

Ссылка

←	Есть ли сайт/faq посвящённый drupal под linux?

js, jquery, DOM: вытащить текст

→

Большой брат смотрит за тобой.

И совсем не понятен вопрос.

~~aedeph~~ ★
(28.03.11 01:23:57 MSK)

а почитайка ты закон о персональных данных, у вас в ЭрЭфии его недавно вроде приняли. Заодно про https.

~~guilder~~ ★
(28.03.11 01:26:02 MSK)

> Можно ли записать id и номер_паспорта в cookie и по ним автоматически определять истинность пользователя?

Можно. Но эту информацию легко украсть и потом подделать.

Проблемы защиты от подбора пароля

Бан по ip на час. Если номеров достаточно много и они выдаются не тупо подряд, то этого более чем достаточно. А если номеров теоретически более 10^100, то даже перебор со всех ip v4 будет до конца эпохи классических компьютеров.

- попытки подбора логировать и далее отключать клиента

с помощью fail2ban. Сеть за proxy вся отключится или сейчас не актуально?

Сейчас неактуально.

soomrack ★★★★★
(28.03.11 01:27:54 MSK)

Ссылка

Ответ на: комментарий от guilder 28.03.11 01:26:02 MSK

К чему сказал?
Дата рождения и паспорт храним только по две цифры из числа.
Нельзя провести идентификацию человека, значит не перс.данные.
Можно разрешение на обработку данных спрашивать при регистрации.

https - может перебор остановить?

WinLin2 ★★
(28.03.11 01:35:41 MSK) автор топика

Не держите в куках полные данные. Держите соленый хеш, например. Или при входе выдавайте ИД сессии, в куках храните этот ИД, ограничьте 1 ИД сесии = 1 IP-адрес, тогда кража будет бесполезна.

От перебора да, fail2ban простейший юзать можно

amomymous ★★★
(28.03.11 01:42:30 MSK)

Ссылка

Ответ на: комментарий от WinLin2 28.03.11 01:35:41 MSK

насколько я помню у вас в паспортах только 1 номер т.е. серия(4) и номер(уже непомню). по этому номеру можно идентифицировать человека.

а сказал я к к тому, что если есть закон может быть и ответственность.

шифрование как минимум затруднит.

~~guilder~~ ★
(28.03.11 01:51:09 MSK)

Ссылка

Ответ на: комментарий от aedeph 28.03.11 01:23:57 MSK

Должны регистрироваться только реально существующие люди,
поэтому сверяем ввод пользователя с базой данных.
Нашли его id.
Далее работаем и желательно второй раз уже ничего не спрашивать.

WinLin2 ★★
(28.03.11 01:51:27 MSK) автор топика

а ещё забыл, паспарта бывают ох какие разные...

~~guilder~~ ★
(28.03.11 02:06:30 MSK)

Ссылка

Ответ на: комментарий от WinLin2 28.03.11 01:51:27 MSK

Если у вы негосударственная организация и используете реальные паспортные данные, то сбор подобных данных может быть уголовно-наказуемым. Если нужна связка с реальностью — используйте банковские карты, пусть те, кто регистрируются совершают микроплатеж. Это общепринятая мировая практика. Опять же, это тест на совершеннолетие.

soomrack ★★★★★
(28.03.11 09:54:52 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Есть ли сайт/faq посвящённый drupal под linux?

Web-development

js, jquery, DOM: вытащить текст

→

Похожие темы