Безопасность вне имени пользователя/Пароля?
У меня есть веб-приложение, которое требует безопасности кроме того нормального веб-приложения. Когда любой пользователь посещает доменное имя, им дарят два текстовых поля, поле имени пользователя и поле пароля. Если они вводят действительного пользователя / передача, они получают доступ к веб-приложению. Стандартный материал.
Однако я ищу дополнительную безопасность вне этой стандартной установки. Идеально это был бы программный продукт, но я также открыт для аппаратного решения также (hardware=key брелоки), или даже процедурные изменения (пароли использования времени на клавиатуре пароля, например).
Веб-приложение уникально в этом, мы знаем всех наших пользователей заранее, и мы создаем их имя пользователя и пароль и даем его им. В этом смысле нас можно уверить, что имя пользователя и пароль "сильны".
Однако наши клиенты запросили дополнительную безопасность вне этого. У кого-либо есть какие-либо идеи о том, как добавить другой слой сложности к безопасности?
7 ответов
Здание на Dan сказало, Вы не получите дополнительной безопасности путем добавления сложности. Вам нужно к дополнительным факторам аутентификации. Проверьте Двухфакторную аутентификацию для списка различных решений и общего описания на практике. Autentication разламывает на 3 основных категории:
- Имейте что-то (keyfob, смарт-карта, сотовый телефон)
- Знайте что-то (Пароль, цифровой сертификат (Это - просто действительно длинный пароль!))
- Будьте кем-то (Цифровой отпечаток, отпечаток Сетчатки)
Общее согласие состоит в том, что Вам нужны по крайней мере два из первого, чтобы иметь надежную безопасность. Дубликаты бесполезны (два пароля не лучше, чем один. Два keyfobs не лучше, чем один). Вы можете phish пароль, но число прокрутки keyfob ограничивает удобство использования. Можно вывести кого-то из строя и украсть цифровой отпечаток (yay голливудские фильмы), но затем Вы не можете получить их пароль.
Отметьте, keyfobs не должен быть другим устройством на связке ключей пользователя, просто отдельным устройством от их компьютера, и где-нибудь что их пароль никогда не хранится. Смартфоны обычно соответствуют этому счету, и если можно разработать приложение, которое работает на смартфонах пользователя, Вы смогли уменьшать, стоит некоторым. Это зависит от того, как большой из развертывания компании нужно.
Кроме того, из любви к любому божеству, которому Вы поклоняетесь, не осуществляют максимальную длину пароля.
Так как мобильные телефоны распространены в большинстве местоположений с доступом в Интернет в эти дни,
это имеет большой смысл видеть механизм двухфакторной аутентификации, который будет использовать мобильный телефон в качестве второй точки.
Даже Google недавно ввел тот круг.
Существуют случаи, когда телефон не достижим, или Вы не хотите, чтобы клиент ожидал через задержку мобильной второй факторной последовательности.
Вот прием, который мог бы уже быть запатентован и/или в широком использовании :-)
Я вспоминаю наблюдение в технической презентации схема, которая использовала одноразовый код, который был отправлен клиенту заранее. Когда они использовали одно доступное им, новый был отправлен их сотовым телефонам - предыдущий истечет, когда эта отправка произошла. Это была очень простая и интересная схема.
Важно знать, что два или многофакторные аутентификации не уменьшают важность хорошего пароля, который пользователь учится защищать лучше.
Как в стороне, я услышал о людях, кладущих не на место их аппаратные брелоки, которые отстучали 8 последовательностей аутентификации цифры, в то время как они пропустили свои now-not-so-critical пароли в открытую (или в их кошельках). Так, со вторым фактором люди могут иногда чувствовать ложную безопасность в мысли, что они распространили свои общеизвестные яйца в различных корзинах.
Существует также двухфакторная аутентификация, где 2-м фактором является "КОРИЧНЕВАЯ таблица" (таблица числа аутентификации транзакции). Рассмотрите это как чрезвычайно не использующий высокие технологии вариант цифровых КОРИЧНЕВЫХ маркеров или одинаково не использующий высокие технологии вариант использования мобильного телефона как 2-й фактор.
Это - что-то как кроссворды - Вы комбинируете 2-й факторный код с комбинацией нахождения его в таблице horitzontal и вертикальными числами проблемы.:-) Одно хорватское использование банка (Erste & Steiermarkische), что, другие здесь используют аутентификацию смарт-карт и маркеров (не как 2-ю, но ony фактор хотя).
Кроме аппаратных средств, большинство дополнительных мер безопасности составляет просто сообщение пользователям иметь 2 пароля вместо 1. Пока у них есть сильный пароль, это не добавляет значения. Существуют другие определенные меры безопасности других целей. Как для моего банка, я сначала указываю свое имя пользователя, и затем изображение, которое я выбрал, открывается, "доказывая" мне, что я в правильном веб-сайте. Но это легко побеждено с незаконным веб-сайтом, который получает мое изображение с законного веб-сайта.
В конечном счете я не думаю, что существует что-либо, что можно сделать со стороны программного обеспечения для добавления безопасности (кроме нормальных процедур как никогда хранение незашифрованных паролей, использование https, и т.д.) лучше, чем просто принуждение более сильного пароля.
Тем не менее существует много, можно сделать для добавления к появлению безопасности. Как некоторые банки делают путем создания ответа вопросом о безопасности, а также ввода в пароле. Существует несколько способов добавить реальное программное обеспечение использования безопасности, как фильтрация IP, но это не практично для большинства веб-приложений.
Поскольку Вы заявили, что существует несколько аппаратных решений как брелоки. Если Вы хотите добавить реальный дополнительный уровень безопасности, я полагаю, что это - Ваш наилучший вариант.
Это кажется, что у Вас есть бизнес-клиенты, которые будут всегда соединять из-за бизнес-сети... сеть, которая, вероятно, будет иметь статический IP. Поэтому Вы могли дополнительно ограничить комбинации имени пользователя/пароля, чтобы только работать при попытке от того IP-адреса. Это не остановит кого-то в компании от получения доступа, но это остановило бы случайного Joe в Интернете, который, могло бы оказаться, нашел бы пароль.
Независимо от того, что Вы делаете, мой обычный совет для этой ситуации, не реализуют его сами. Системы безопасности невероятно легко реализовать неправильно, такой, что они проходят все Ваши тесты, и Вы даже не знаете, что что-либо неправильно до спустя шесть месяцев после того, как Вы были взломаны. Оставьте это компании, которая создает этот вид системы как их основной продукт. Другими словами: Вы находитесь в, "покупают, не создают" ситуацию.
Я нашел PhoneFactor некоторое время назад, но он может только использоваться для клиентов в ограниченном количестве стран.
Биометрика
Потребуйте, чтобы пользователи имели камеру... и использовали Биометрику Уха