2
我最近被要求提供一个关于集成像大多数在线银行使用的安全解决方案的报价,其中有一个安全令牌,其密钥/数字随机更改。ASP.NET网站的最佳/简单硬件安全令牌认证?
门户是一个ASP.NET网站,2.0 ...
我以前没有实现这种类型的安全认证。任何人都可以提供关于他们所使用的组件/硬件的指导,建议和经验等吗?
感谢
A
回答
2
与物理令牌做的最安全的方式实际上是使用第三方产品,如RSA SecurId。他们还有一个版本用于将令牌发送到移动设备,这是他们的“On-demand Authenticators”产品的一部分。
否则,如果你想制造自己的系统,那么你需要考虑:
- 令牌的使用寿命。
- 标记需要活动多长时间?
- 如果客户端与服务器位于不同的时区,会发生什么情况?
- 令牌的随机性?
- 您使用什么方法来生成令牌? GUID的最后n位数? Psuedo随机数字表?秘密+用户ID +随机数,散列,然后取最后n位数字?
- 令牌的有效字符是什么? [0-9] * | [a-zA-Z] * | [0-9A-F] * |等等。
- 标记的长度是多少?
- 令牌在验证之前存储在哪里?
- 用于传输令牌的机制有多安全?
- 通过HTTPS?
- 在公共SMS网络?
- 用户如何接收令牌?
- Rabo银行有一个设备,你用针解锁,然后代码发出。
- 可以有一个设备,你输入给定的令牌,它发出你需要回应的令牌?
- 如果显示过期的标记,会发生什么情况?
- 在锁定设备/访问权限之前,您尝试给它们多少次尝试?
我参与了一个银行系统。它使用类似于Microsoft Federation Gateway提供的机制来实现。它可能不是用于登录的,但仍用于身份验证。
相关问题
- 1. 最佳安全杂志和网站
- 2. asp.net mvc网站的安全最佳实践?
- 3. ASP.NET安全最佳实践
- 4. 安全认证与ASP.net
- 5. 最简单的Twitter认证
- 6. 开发简单ASP.NET网站(内置控件或JQuery +脚本)的最佳实践
- 7. 如何进行安全的API端点与令牌认证
- 8. 春季安全和令牌认证的API
- 9. 最简单的方法来使用客户端生成的令牌WCF认证
- 10. 简单计算机硬件清单的最佳数据库?
- 11. 使用Python登录,以安全的网站与令牌
- 12. IE不保存asp.net认证令牌/ cookies
- 13. HTTP令牌认证
- 14. Spring安全OAuth2 - 验证访问令牌
- 15. 身份验证令牌安全
- 16. Salesforce安全令牌
- 17. 如何存储oauth令牌和其他网站安全信息?
- 18. 将身份验证令牌从一个网站发送到另一个网站的最佳做法?
- 19. 什么是Spring安全会话认证的最佳策略
- 20. 关于网站用户认证的PHP最佳实践?
- 21. asp.net形式的认证安全问题
- 22. 使用多硬件层保证ASP.Net应用程序的安全
- 23. 部署asp.net网站的最佳方法
- 24. ASP.NET安全身份验证和授权的最佳实践
- 25. 春季令牌安全凭证安全(springboot)
- 26. 怪令牌网站网址
- 27. 的OAuth令牌安全
- 28. 基于Java的简单CRUD网站的最佳技术
- 29. 使用SAS令牌安装Azure的文件存储认证
- 30. 在wordpress网站的安全证书
谢谢大卫。我使用的银行已经使用RSA令牌进行双向认证......并且他们的门户网站是基于.NET的,所以基本上我正在寻找一些关于它如何在.NET环境中集成的指针。就像我需要有一个服务器专门用于提供/匹配密钥?还是有一个.NET组件直接集成到我现有的AS.NET站点中?任何意见非常感谢,谢谢。 – GR7 2009-08-22 15:22:58
如果您使用的是RSA,那么您将需要将他们的产品安装在您的环境中,并将其集成到使用它们的组件。这是一个web服务调用或一个COM组件的调用。 – 2009-08-23 20:06:11