您将如何实施“挑战”问题？

Question

因此，在安全性非常重要的应用中，如何实现挑战性问题。那是...你会：

• 检测计算机IP是否已更改，因此要求挑战问题。
• 检测cookie是否丢失。
• 检测计算机名称是否不同。
• 以上方法的一些组合？

我目前工作的一个外汇交易平台......在asp.net/c#和思考如何实现最佳效果THI功能。我认为最好也是唯一的办法是检查cookie的变化 - 因为如果我基于ip - ip可能是由客户端的isp决定的 - 也如果我指望计算机名称，那么它不是那么明亮，因为计算机可能会比有问题的用户使用得多......当然，如果我指望cookie，那么浏览器可能会被多个人使用......但这就是为什么这是一个额外的安全措施，而不是非常密码/用户名认证。 除了获取计算机名称（如果可能??）+ cookie更改似乎是最好的方法。我将它标记为c＃/ java，因为这两天在验证和安全性方面非常普遍。 10x！

Answer 1

我做的一件事情我认为是好的......您可以启用一个选项让他们在您的浏览器中放入一个cookie ...对于您使用的每台计算机都是唯一的...然后如果有人没有在浏览器登录到你的帐户，他们发送一封电子邮件给你，让你知道......我认为他们将未知计算机的源IP地理定位，并将其放入电子邮件中......所以，如果你住在美国，你不会期望从俄罗斯登录。不是每个人都接受cookies，但对于那些谁做，这种可选功能是伟大的，金融公司也应该这样做...

我的银行（和许多其他人）依靠某种形式的常数two factor auth可以像你的简单最好的朋友的名字，或者如果他们像我的在线经纪人那样，那么超过一定余额阈值的高价值账户将获得基于时间的密码令牌。您必须先输入密码，然后输入令牌号码。

大多数金融网站使用您选择为您的密码登录显示的网站上的托管图片......这有助于降低网络钓鱼损失的风险。