मैं पासवर्ड-कम लॉगिन सुविधा को सुरक्षित रूप से कैसे लागू कर सकता हूं?

बस एक नया प्लगइन पोस्ट किया: कोई और पासवर्ड नहीं

वर्तमान में मैंने इसे बीटा टैग कर दिया है क्योंकि एक प्लेटफ़ॉर्म में प्रवेश करना एक संवेदनशील मुद्दा है और मैं ऐसा कुछ रिलीज़ नहीं करना चाहता जिसमें सुरक्षा छेद हो सकते हैं। तो यहाँ मेरा प्रश्न है:

सुरक्षित है?

मैंने सुरक्षा सुनिश्चित करने के लिए निम्न कार्य किया है:

1. उपयोगकर्ता नाम / पासवर्ड कभी भी आगे-पीछे नहीं किया जाता है, केवल अद्वितीय हैश।
2. एक बार इसका उपयोग करने के बाद डेटाबेस से हैश को हटा दिया जाता है, पुरानी हैश का उपयोग नहीं किया गया है जब तक कि डेटाबेस को हैक नहीं किया जाता है, लेकिन तब आप बड़े मुद्दों को हटा सकते हैं।
3. XSS हमलों को रोकने के लिए हैश के सभी डेटाबेस प्रश्नों से बच गए हैं।
4. नॉन को अजाक्स कॉल में जोड़ा गया।
5. CSRF हमले को रोकने के लिए मोबाइल अंत पर नॉन और कन्फर्मेशन जोड़ा गया।

यहाँ मेरे पास इसका पूरा विवरण है कि यह कैसे काम करता है ।

अगले संस्करण मैं ट्विटर के माध्यम से oauth को लागू करने की उम्मीद करता हूं, क्योंकि iOS ने अब इसमें काम किया है ...

अग्रिम में आपके इनपुट के लिए धन्यवाद।

संपादित करें: मैंने तय किया कि एक अतिरिक्त परत के रूप में मैं यह सुनिश्चित करने के लिए एक सत्र की जांच जोड़ूंगा कि यह वही ब्राउज़र है जो उस ब्राउज़र में क्यूआर कोड लॉगिन शुरू करता है।

(मैं वैकल्पिक लॉगिन योजनाओं के लिए एक चूसने वाला हूं)

डीबी से बचने के बारे में कुछ नाइटपैकिंग:

• आप mysql_real_escape_string()सीधे उपयोग करें। पसंदीदा विधि का उपयोग कर रहा है $wpdb->prepare()या esc_sql()।

• अद्यतन क्वेरी सबसे अच्छी तरह से नियंत्रित की जाती हैं $wpdb->update()

मुझे लगता है कि यह एक महान विचार है लेकिन हमेशा की तरह सबसे बड़ी कमजोरी मानव कारक है, इस मामले में यह फोन खुद ही खो जाएगा, चोरी या बाधित हो जाएगा। क्या आपने 2-लेयर ऑथेंटिकेशन जोड़ने के बारे में सोचा है, जैसे एसएमएस वेरिफिकेशन कोड (जैसे जीमेल, आदि)। या एक विकल्प जो आसान है वह एक कुकी + गुप्त शब्द होगा।

आप यह भी बता सकते हैं कि एल्गोरिथ्म आपके पेज के बारे में क्यूआर कोड क्या बना रहा है?