blu*_*l2k 5 security web website passwords web-application
我有一个 Web 应用程序,它需要超出普通 Web 应用程序的安全性。当任何用户访问域名时,他们会看到两个文本字段,一个用户名字段和一个密码字段。如果他们输入有效的用户/通行证,他们就可以访问 Web 应用程序。标准的东西。
但是,我正在寻找超出此标准设置的额外安全性。理想情况下,这将是一种软件解决方案,但我也对硬件解决方案持开放态度(硬件 = 密钥卡),甚至程序更改(例如,一次在密码键盘上使用密码)。
webapp 的独特之处在于我们提前了解所有用户,我们创建他们的用户名和密码并将其提供给他们。从这个意义上说,我们可以放心,用户名和密码是“强”的。
然而,我们的客户要求额外的安全性。任何人都对如何为安全性添加另一层复杂性有任何想法?
Dar*_*oid 10
建立在 Dan 的基础上,你不会因为增加复杂性而获得任何额外的安全性。您需要额外的身份验证因素。查看双因素身份验证以获取各种解决方案的列表和实践的一般描述。认证分为3个主要类别:
普遍的共识是,您需要至少两个前者才能获得可靠的安全性。重复是无用的(两个密码不比一个好。两个密钥卡不比一个好)。您可以对密码进行网络钓鱼,但滚动号码密钥卡限制了可用性。你可以敲掉某人并窃取指纹(是好莱坞电影),但是你无法获得他们的密码。
请注意,keyfobs 不需要是用户钥匙串上的另一个设备,只需与他们的计算机分开的设备,并且永远不会存储他们的密码。智能手机通常符合此要求,如果您可以开发在用户智能手机上运行的应用程序,您或许可以降低一些成本。这取决于公司需要多大的部署。
此外,出于对您所崇拜的任何神的热爱,不要强制执行最大密码长度。
| 归档时间: |
|
| 查看次数: |
379 次 |
| 最近记录: |