我有一个web应用程序需要超出正常的web应用程序的安全性。当任何用户访问域名时,它们都会显示两个文本字段,一个用户名字段和一个密码字段。如果他们输入了有效的用户/密码,他们可以访问该Web应用程序。标准的东西。安全超越用户名/密码?
但是,我正在寻找超出此标准设置的额外安全性。理想情况下,这将是一个软件解决方案,但我也开放硬件解决方案(硬件=钥匙扣),甚至程序上的变化(例如一次使用密码键盘上的密码)。
该webapp的独特之处在于我们提前知道所有用户,并且我们创建了他们的用户名和密码并提供给他们。从这个意义上说,我们可以放心,用户名和密码是“强大的”。
但是,除此之外,我们的客户要求额外的安全性。任何人对如何为安全增加另一层复杂性有任何想法?
我们公司使用PhoneFactor,我们非常喜欢它。
我们以前也用过Safeword Tokens。
但是,它不是书中唯一的游戏。我开始用谷歌搜索“Two factor authentication”
OWASP guide to authentication是另一个开始的好地方。实际上,OWASP是我第一个寻找任何网络安全问题的地方。
以增加安全性的另一种选择是使用一个物理“证据”,如智能卡:Protect Your Data Via Managed Code And The Windows Vista Smart Card APIs
有很多是网络应用程序可以有自己的安全得到改善,在不同的领域。在开始之前,您需要确定您的问题领域可能是什么以及您想要关注的内容。
您可以通过让第三方对您的应用程序进行渗透测试(PEN测试)来启动此过程。这应该给你一个可以照顾的事情的快速打击清单,并且当你有及格分数时,可以在你的销售文献中使用。
接下来,您需要与您的客户交谈,以了解他们“更安全”的含义。它只是像David和Mitch提到的那样进行双因素身份验证,还是更关心运动中的数据(ARP中毒,SSL等),静止数据(从硬盘加密到数据库加密的所有内容),授权,模拟(跨站点和重播),人员(正在进行背景检查,谁有权访问机器)等。
安全性的概念涵盖了大量的基础。
+1。有趣:还没有看到一个 – 2010-10-11 16:58:25
暴雪提供了一个可选的可购买的安全令牌,可以做同样的事情http://eu.blizzard.com/support/article.xml?locale=zh_CN&articleId=28152一次性密钥生成每次登录都会飞。 – Davy8 2010-10-11 17:19:13