我有一个有趣的问题。假设我们有一个用户Bob,他登录了一些服务。假设Bob主动想要其他人尝试并冒充他,那么该服务如何证明Bob的身份?即我们如何确定登录的用户确实是Bob?如何在用户支持他人模仿他们时证明用户身份?
- 使用Bob的MAC/IP地址将不起作用,因为这些可能很容易被欺骗。
- 作为身份验证方式的用户名/密码不起作用,因为Bob可以将这些凭据提供给任何人。
- 公钥系统(例如使用RSA进行签名)不起作用,因为Bob只能与任何人共享他的私钥。
我本质上需要的是鲍勃有ID的一些证明他不能共享(或至少是很难被别人复制,因为鲍勃拥有的所有信息)。
编辑(如果这是有用的):我正在使用iOS应用程序(Bob)和Python web服务器(服务)。
有些像RSA令牌,或者必须插入一个加密的USB钥匙或卡片? –
@RonMaupin对于USB钥匙或卡 - 鲍勃可以把它交给任何人。重新RSA令牌,你能解释这一点吗? – Dotl
鲍勃可以放弃它,但是鲍勃不会拥有它。这个问题可能更好的问[security.se]。 –