Вход в аккаунт с использованием публичного ключа

Внести вклад Функция
1

Вход в Discourse: без имени пользователя, без электронной почты, без пароля. Публичные ключи не требуют пароля. Поскольку двухфакторная аутентификация (2FA) должна поддерживаться как в приложении, так и на веб-сайте, это помогает предотвратить регистрацию ботов и избежать потери публичного ключа.

Регистрация —> Генерация публичного ключа —> Привязка 2FA TOTP

2FA — это ваш пароль, 2FA как первый фактор аутентификации.

Вход с использованием публичного ключа + 2FA.

Генерация публичного ключа
k41d9dfe789b8881c165e50f035aad1f286f88f2b33d97d10c198a4df37ae16f756f8a6b3520f2899eb19c321ef357e3fccaf6af627527c10b7cce9af7be4dc9

Что мне нужно

Я зарегистрировал более 10 форумов Discourse в браузере под Windows 10 и на Android, например F-droid и другие.

Но я забыл своё имя пользователя и пароль, а моя электронная почта была заблокирована провайдером.

2

Какую выгоду это даст по сравнению со стандартом Passkey?

1 лайк
3

Passkey. Никто его не использует, он не способствует резервному копированию и восстановлению.
Passkey не является универсальным и чрезмерно зависит от браузера.

4

Все, кого я знаю, используют их.

Подождите… что? :flushed_face:

Что я опять упустил?

1 лайк
5

Passkey: Для её включения требуется наличие электронной почты для входа.
Если я не забуду пароль, но мой адрес электронной почты будет заблокирован оператором, как мне войти в систему!

Публичный ключ + двухфакторная аутентификация (2FA) могут решить эту проблему очень эффективно. Необходимо привязать 2FA в процессе регистрации.

Публичный ключ — это имя пользователя.

6

Вам нужно хорошо разобраться в терминологии и иметь чёткий дизайн, чтобы предложить что-то конкретное.

Например, под «2FA» вы, вероятно, имеете в виду «TOTP»?

А утверждение «имя пользователя — это открытый ключ» оставляет много места для интерпретации.

Тем временем вы можете реализовать прототип (POC) предлагаемой схемы, внедрив её в качестве провайдера DiscourseConnect (или SAML, или oAuth и т. д.).

Кроме того, в каком сценарии это предложение улучшает ситуацию для конечного пользователя?

1 лайк
7

Нет, это не так.

Но настоящая проблема в следующем:

Не используйте спам-аккаунты. Вот в чём настоящая причина. Но в такой ситуации вам стоит попытаться связаться с администратором и объяснить ситуацию. Или создайте новый аккаунт и попробуйте установить связь.

2 лайка
8

Просто добавлю своё мнение: я использую passkeys:

Список, показывающий дату и время добавления и последнего использования passkeys, а также их перекрёстные проверки. В списке также указаны типы passkeys, такие как Yubikey A и Yubikey C. (Подпись сгенерирована ИИ)
Список, показывающий дату и время добавления и последнего использования passkeys, а также их перекрёстные проверки. В списке также указаны типы passkeys, такие как Yubikey A и Yubikey C. (Подпись сгенерирована ИИ)469×290 5.84 KB

Насколько мне известно, все основные браузеры поддерживают passkeys?

2 лайка