Joe*_*oni 19 security usability login shibboleth
我正在使用Shibboleth进行单点登录登录页面,该登录页面将用于各种Web应用程序.显然,我们希望在限制网络钓鱼诈骗的影响的同时使这个页面尽可能安全可用.
设计登录页面时要记住哪些最佳做法?
针对此问题提出了一些问题:
scu*_*ffe 21
可用性说明:
我个人讨厌网站在密码字段和登录按钮之间放置"忘记密码"或"忘记用户名"或"帮助"链接.作为键盘用户,我不应该通过TAB来获取提交按钮.
更好的是,还可以在密码字段上捕获Enter键,以便我可以使用Enter键自动提交.
无论你设计什么,网络钓鱼者都能模仿它.完全防止网络钓鱼是一个难题.在登录之前,您必须有一些识别用户的方法.有些银行现在就这样做了.您输入您的姓名,然后他们会显示您自己选择的图像,然后,一旦您确定它是相同的图像,您输入您的密码.这可能比您的网站所需的复杂程度更高.
在技术方面,Bank Of America通过使用名为PassMark的Flash本地共享对象来实现此目的.您的浏览器会静默地将此数据发送回银行.如果您删除了LSO,那么您将无法看到您的图像,因为美国银行无法识别您的身份.即便如此,这仍然容易受到中间人攻击.
另一个"没有duh"的东西,我仍然在我去的很多应用程序上看到,如果指定的凭据无效,则不指示哪一个无效.简单地说"无效的用户/密码组合"而不是"无效密码",这将阻止社交工程的那些人知道访问您网站的用户群.