因此,在安全性非常重要的应用中,如何实现挑战性问题。那是...你会:您将如何实施“挑战”问题?
- 检测计算机IP是否已更改,因此要求挑战问题。
- 检测cookie是否丢失。
- 检测计算机名称是否不同。
- 以上方法的一些组合?
我目前工作的一个外汇交易平台......在asp.net/c#和思考如何实现最佳效果THI功能。我认为最好也是唯一的办法是检查cookie的变化 - 因为如果我基于ip - ip可能是由客户端的isp决定的 - 也如果我指望计算机名称,那么它不是那么明亮,因为计算机可能会比有问题的用户使用得多......当然,如果我指望cookie,那么浏览器可能会被多个人使用......但这就是为什么这是一个额外的安全措施,而不是非常密码/用户名认证。 除了获取计算机名称(如果可能??)+ cookie更改似乎是最好的方法。我将它标记为c#/ java,因为这两天在验证和安全性方面非常普遍。 10x!
不要以为你的银行总是依赖于简单的认证。我在那里工作的地方有一个追踪系统,如果登录有可疑的话,它可能会引起一面旗帜(例如,俄罗斯的事情;我想知道为什么是俄罗斯?我发现它无论如何都违反了。银行只是透明地做,而不要求用户接受cookie。 – 2011-04-16 03:54:58
Mike Pennington实际上很可能就在这里 - 我一直怀疑PayPal做了类似的事情......几个月前,当我在墨西哥并从同一台笔记本电脑登录到我的PayPal帐户时,它变成了正确的... ...帐户没有理由受到限制。虽然这是一种类似练习的琐事......它有一些优点......从内布拉斯加州登录5年的人不太可能会突然从尼日利亚的阿布贾登录。说到这一点 - 对俄罗斯和尼日利亚来说没有任何冒犯的国家;)。 – leo 2011-04-16 05:27:46