আমি কীভাবে সুরক্ষিতভাবে একটি পাসওয়ার্ড-কম লগইন বৈশিষ্ট্য প্রয়োগ করতে পারি?

সবেমাত্র একটি নতুন প্লাগইন পোস্ট হয়েছে: আর পাসওয়ার্ড নেই

আমি বর্তমানে এটি বিটা ট্যাগ করেছি কারণ প্ল্যাটফর্মে লগইন করা একটি সংবেদনশীল সমস্যা এবং আমি সুরক্ষা গর্ত থাকতে পারে এমন কোনও জিনিস প্রকাশ করতে চাই না। সুতরাং এখানে আমার জিজ্ঞাসা:

নিরাপদ?

সুরক্ষা নিশ্চিত করার জন্য আমি নিম্নলিখিতগুলি করেছি:

1. ব্যবহারকারীর নাম / পাসওয়ার্ড কখনও পিছনে পিছনে যায় না, কেবল অনন্য হ্যাশ।
2. এটি ব্যবহার করার পরে ডাটাবেস থেকে হ্যাশ সরানো হবে, পুরাতন হ্যাশগুলি ব্যবহার করা হয়নি যা ডাটাবেস হ্যাক না করা সম্ভব না, তবে আপনার কাছে আরও বড় সমস্যা রয়েছে।
3. এক্সএসএস আক্রমণ রোধ করতে হ্যাশের সমস্ত ডাটাবেস অনুসন্ধানগুলি পালিয়ে গেছে।
4. অজেক্স কলটিতে ননস যোগ হয়েছে।
5. সিএসআরএফ আক্রমণ প্রতিরোধ করতে মোবাইল প্রান্তে বাজে বা নিশ্চিতকরণ যুক্ত করা হয়েছে।

এটি কীভাবে কাজ করে তার একটি সম্পূর্ণ বিবরণ এখানে আমার কাছে রয়েছে ।

পরবর্তী সংস্করণটি আমি টুইটারের মাধ্যমে ওউথ বাস্তবায়নের আশা করি, যেহেতু আইওএস এখন এটিতে কাজ করেছে ...

আগাম আপনার ইনপুট জন্য ধন্যবাদ।

সম্পাদনা: আমি স্থির করেছিলাম যে একটি যুক্ত স্তর হিসাবে আমি একটি সেশন আইডি চেক যুক্ত করব তা নিশ্চিত করার জন্য এটি কিউআর কোড লগইন শুরু করা ব্রাউজার হিসাবে একই ব্রাউজারে লগ ইন করে।

(আমি বিকল্প লগইন স্কিমগুলির জন্য চুষছি)

ডিবি পালানোর বিষয়ে কিছু কথা বলা:

• আপনি mysql_real_escape_string()সরাসরি ব্যবহার করুন । পছন্দসই পদ্ধতিটি ব্যবহার করছে $wpdb->prepare()বা esc_sql()।

• আপডেট আপডেটগুলি সর্বোত্তমভাবে পরিচালনা করা হয় $wpdb->update()

আমি মনে করি এটি একটি দুর্দান্ত ধারণা তবে সর্বদা সর্বকালের সবচেয়ে বড় দুর্বলতা হ'ল মানবিক উপাদান, এক্ষেত্রে ফোনটি নিজেই হারিয়ে যাওয়া, চুরি হওয়া বা আটকাতে হবে। আপনি কি এসএমএস যাচাইকরণ কোডের (যেমন জিমেইল ইত্যাদি) 2-স্তরীয় প্রমাণীকরণ যুক্ত করার বিষয়ে ভেবে দেখেছেন? অথবা একটি বিকল্প যা আরও সহজ a

এছাড়াও আপনি কী উল্লেখ করতে পারেন যে আপনার অ্যালগরিদমটি আপনার প্রায় পৃষ্ঠায় কিউআর কোড উত্পন্ন করছে?