Autenticador de dois fatores
Utilizando o tabnews gostei muito da simplicidade de registrar, comentar e criar postagem, mas como li hoje no tabnews sobre um problema de segurança, me veio a mente que são poucos os lugares que se preocupam com a criação de contas e postagens de forma automatizada, por isso o autenticador de fois fatores é um bom mediador entre pessoas reais e API "robos" que criam e comentam e fazem outras coisas automatizadas.
Pensando nisso acredito que a comunidade aqui e outros iniciantes em programação podem olhar com um olhar critico quanto a essa questão, não só para impedir rôbos, mas como também proteger os usuários autenticos de que suas contas não sejam invadidas com facilidade.
hoje pensando nisso realizei em um dos sites que estou desenvolvendo os seguintes passos.
- o usuário se autentica via login, o sistema envio um email com números aleatórios ou hash para seu email cadastrado.
- salvo em uma tabela temporaria o email da sessão e o token que envie por email.
- na tela que aparece após o login, com o email em sessão ao inserir o token faço outra verificação nesta tabela temporaria entre o email e o token, e existe uma rotina que apaga essa linha em 5 minutos após o envio do email, para não gerar lixo nem o token ser reaproveitado.
Assim sempre que o usuário registrado for logar no site ele precisa receber o email com o token para continuar o processo de autenticação.
(Login -> Se usuario existe ->gera o token e envia por email -> se o usurio inserir o token -> autorizado.)
Acho que será promissor para tabnews, e para todos os nossos novos sistemas.