您将如何实现匿名身份验证？

Question

我正在构建一个基于网络的应用程序，以安全、隐私和匿名为中心。该应用程序的关键原则之一是用户可以匿名存储敏感数据。

因此，我希望完全外包系统身份验证，最好使用 OAuth 或 OpenID。

这可能吗？我想避免在我这边存储电子邮件地址或任何其他类型的用户识别信息。

Answer 1

几年前，我的一个朋友正在研究这个问题。他的想法是将电子邮件地址和拇指或指纹散列成一个独特的图像（生物识别数据只是一串比特流，理论上与“123456”等人工输入密码相比是相当独特的）。

然后，该图像可以使用他们自己的密码或 Bitlocker 存储在该人的设备上，甚至可以打印出来并物理锁定。当向网络摄像头显示或上传时，图像将成为关键，有点像二维码的反转。

当然，图像创建将是潜在的跟踪点。但如果这完全是在内存中完成的，或者是使用免费且广泛分布的密钥生成工具完成的，那么您可能会受到一些法律保护，以免被迫透露原始用户的数据或身份。
（这一切都掩盖了广泛使用生物识别扫描仪和安全连接的需要）

编辑：

生物识别数据流每次采集时都略有不同。如果按原样散列这样的流，则不存在“密码恢复”，它可能永远不会相同。大多数降维都会使其安全性大大降低，并且仍然可能留下无法复制的机会。

Answer 2

首先，OAuth 是一个完全不同的东西，独立于您的项目范围。

我想这取决于你对“匿名”的定义。如果您使用 OpenID，您将保存用户的 OpenID URL。换句话说，您的系统将与用户的 OpenID 一样匿名。

本质上更匿名的解决方案可能是简单地让用户输入任意字符串来识别自己的身份。返回的用户只需再次输入相同的字符串即可。如果您想显示用户的“身份”，您可以通过哈希函数运行该字符串。无需注册（与 4chan 的安全旅行代码不同）。