Opravdu je řešení tak jednoduché? Nedokážu si představit, jak by se člověk jednoduše a bezpečně přihlašoval jinak než heslem. HW přihlašovátka (usb, sms, ...) v rámci jednoduchosti a nákladů nepoužitelné, fingerprinting nepřijatelný, ...
Uživatel má sebou pouze svojí hlavu, ve které má uložené heslo/hesla. Mít cokoliv jiného, už se nepřihlásí kdekoliv, na čemkoliv. Pokud se nemůže přihlásit kdekoliv a na čemkoliv, i kdyby to bylo nejbezpečnější a nevyžadovalo by to citlivé údaje v databázi, tak stejně bude třeba řešit, aby se přihlásil alespoň nějak - heslem, a jsme zpět...
Nepřu se, pouze mi není jasné kam míříte. Rád by jsem poznal technologii, která strčí heslo do kapsy a zachová přenosnost.
Uživatel by se dál přihlašoval heslem. Heslo se zahashuje se jménem serveru (a teprve tenhle hash se při registraci dozví server a má jej uložený). Pak se tento hash zahashuje ještě jednou výzvou, kterou poslal server, a výsledný hash se pošle přes síť. Podle něj server uživatele ověří. Přihlášení tímhle způsobem už v HTTP standardu je, je to metoda HTTP digest, nebo existují jiné metody založené na stejném principu. Navíc je takhle autorizován každý HTTP požadavek na server, takže není problém s únosem session. Akorát že reálná podpora v softwaru je všelijaká. Ale hlavně úplně chybí podpora pro odhlašování, a podpora pro registraci účtů - takže i když se používá HTTP digest pro přihlášení, pro registraci účtu se používá obyčejný formulář, heslo putuje v otevřeném tvaru přes síť a server si s ním může udělat, co se mu zlíbí.
To je zvláštní, jak lidé někomu dají heslo, a pak se strašně diví, že to heslo má a může ho třeba poslat e-mailem. Neměli by se spíš divit, proč mají někomu vůbec to heslo dávat? Proč v roce 2013 neexistuje webový standard, který by umožňoval vytvářet přihlašovací údaje a následně se přihlašovat bezpečným způsobem? Neustále se řeší únosy session a hashování hesel v databázi, přitom technické řešení by bylo tak jednoduché…