Безопасность помимо имени пользователя / пароля?

Question

У меня есть веб-приложение, которое требует безопасности помимо безопасности обычного веб-приложения. Когда какой-либо пользователь посещает доменное имя, ему предоставляются два текстовых поля, поле имени пользователя и поле пароля. Если они вводят действительного пользователя / пароль, они получают доступ к веб-приложению. Стандартные вещи.

Тем не менее, я ищу дополнительную безопасность помимо этой стандартной установки. В идеале это было бы программное решение, но я также открыт для аппаратного решения (аппаратные средства = брелки) или даже процедурных изменений (например, один раз используйте пароли на панели паролей).

Веб-приложение уникально тем, что мы заранее знаем всех наших пользователей, и мы создаем их имя пользователя и пароль и даем им это. В этом смысле мы можем быть уверены, что имя пользователя и пароль являются "сильными".

Однако наши клиенты запросили дополнительную безопасность помимо этого. У кого-нибудь есть идеи, как добавить еще один уровень сложности в систему безопасности?

Answer 1

Опираясь на Дэн сказал, вы не получите дополнительную безопасность, добавив сложности. Вам нужны дополнительные факторы аутентификации. Проверьте двухфакторную аутентификацию для получения списка различных решений и общего описания практики. Аутентификация делится на 3 основные категории:

• Есть что-то (брелок, смарт-карта, мобильный телефон)
• Знай что-нибудь (пароль, цифровой сертификат (это просто очень длинный пароль!))
• Будь кем-то (отпечаток пальца, сетчатка)

Общее мнение заключается в том, что вам нужно по крайней мере два из них, чтобы иметь надежную безопасность. Дубликаты бесполезны (два пароля не лучше одного. Два брелка не лучше одного). Вы можете подделать пароль, но брелок с плавающим номером ограничивает удобство использования. Вы можете кого-то вырубить и украсть отпечаток пальца (голливудские фильмы), но тогда вы не сможете получить его пароль.

Обратите внимание, что брелки не должны быть другим устройством в цепочке для ключей пользователя, просто отдельным устройством от их компьютера и где-то, где их пароль никогда не хранится. Смартфоны, как правило, отвечают этим требованиям, и если вы сможете разработать приложение, которое будет работать на смартфонах пользователей, вы сможете сократить расходы. Это зависит от масштаба развертывания, необходимого компании.

Кроме того, ради любви к любому божеству, которому вы поклоняетесь , не устанавливайте максимальную длину пароля.

Answer 2

Поскольку в настоящее время мобильные телефоны распространены в большинстве мест с доступом в Интернет,
имеет смысл видеть механизм двухфакторной аутентификации, который будет использовать мобильный телефон в качестве второго пункта.

Даже Google недавно вошел в этот круг.

Бывают случаи, когда телефон недоступен, или вы не хотите, чтобы клиент ждал, пока не наступит временной интервал мобильной последовательности второго фактора.
Вот трюк, который может быть уже запатентован и / или широко использован :-)
Я помню, как видел в технической презентации схему, в которой использовался одноразовый код, который был отправлен заказчику раньше времени. Когда они использовали доступный им, новый был отправлен на их мобильные телефоны - предыдущий истекает, когда эта отправка произошла. Это была очень простая и интересная схема.

Важно знать, что двух или многофакторная аутентификация не уменьшает важности хорошего пароля, который пользователь учится защищать лучше.

^{Кроме того, я слышал о людях, неуместно размещающих свои аппаратные устройства, которые отмечали 8-значные последовательности аутентификации, в то время как они оставляли свои не столь критичные пароли в открытом доступе (или в своих кошельках). Таким образом, со вторым фактором люди могут иногда чувствовать ложную безопасность, думая, что они распространили свои пресловутые яйца в разных корзинах.}

Answer 3

Помимо аппаратного обеспечения, большинство дополнительных мер безопасности сводятся к тому, чтобы просто сказать пользователям иметь 2 пароля вместо 1. Пока у них есть надежный пароль, это не добавляет никакой ценности. Существуют и другие конкретные меры безопасности для других целей. Как и для моего банка, я сначала ввожу свое имя пользователя, а затем появляется выбранное изображение, "доказывающее", что я на правильном веб-сайте. Но это легко победить с незаконным веб-сайтом, который получает мою фотографию с легального веб-сайта.

В конечном счете, я не думаю, что есть что-то, что вы можете сделать со стороны программного обеспечения для повышения безопасности (кроме обычных процедур, таких как хранение незашифрованных паролей, использование https и т.д.) Лучше, чем просто принудительное использование более надежного пароля.

Тем не менее, есть много вещей, которые вы можете сделать, чтобы добавить к безопасности. Как делают некоторые банки, делая ваш ответ секретным вопросом, а также вводя свой пароль. Есть несколько способов добавить реальную безопасность с помощью программного обеспечения, например, IP-фильтрация, но это не практично для большинства веб-приложений.

Как вы сказали, есть несколько аппаратных решений, таких как брелки. Если вы хотите добавить дополнительный уровень безопасности, я считаю, что это ваш лучший вариант.

Answer 4

Существует также двухфакторная аутентификация, где вторым фактором является "таблица TAN" (таблица номеров аутентификации транзакции). Рассматривайте его как крайне низкотехнологичный вариант цифровых токенов TAN или столь же низкотехнологичный вариант использования мобильного телефона в качестве второго фактора.

Это что-то вроде кроссвордов - вы комбинируете код 2-го фактора с комбинацией поиска его в таблице по горизонтали и вертикали. :-) Один хорватский банк (Erste & Steiermarkische) использует это, другие здесь используют аутентификацию смарт-карт и токенов (хотя не как 2-й, но только для одного фактора).

Answer 5

биометрия

Требовать от пользователей иметь камеру ... и использовать Ear Biometrics

Answer 6

Некоторое время назад я обнаружил PhoneFactor , но его можно использовать только для клиентов в ограниченном числе стран.

Answer 7

Похоже, у вас есть бизнес-клиенты, которые всегда будут подключаться из-за бизнес-сети ... сети, которая может иметь статический IP-адрес. Поэтому вы можете дополнительно ограничить комбинации имени пользователя и пароля, чтобы они работали только при попытке с этого IP-адреса. Это не помешает кому-то в компании получить доступ, но остановит случайного Джо в Интернете, который может случайно найти пароль.

Что бы вы ни делали, мой обычный совет в этой ситуации - не реализовывайте это сами. Системы безопасности невероятно легко внедрить неправильно, так что они проходят все ваши тесты, и вы даже не знаете, что что-то не так, пока не прошло шесть месяцев после того, как вас взломали. Оставьте это компании, которая строит такую систему в качестве основного продукта. Другими словами: вы находитесь в ситуации «покупай, а не строи».