-1
我试图模仿一个类似于RBS英国网站的系统。我实际上增加了一个实验的安全性。所以我在入口页面使用了工作人员ID和验证码机制,一旦用户输入了正确的工作人员ID和验证码,就会要求用户名和密码。所以我想知道一个安全的角度..有工作人员的身份证和Captcha一起是否有任何意义?或者解释很简单,只需要一件事来识别用户。让我知道你的意见。双因素认证机制
困惑?那好吧。无论如何感谢你
Q
双因素认证机制
A
回答
6
这不是two factor authentication,因为你只有一个因素 - 这个人“知道”的东西。你没有的是这个人“拥有”的东西(如RSA令牌或移动电话),或者这个人“是”的东西(如生物指纹或虹膜扫描器)。
你做什么有一个可用性的噩梦;员工ID + CAPTCHA +用户名+密码。除非您保护的是超级敏感的东西(在这种情况下,您需要查看真正的双因素身份验证),否则最好先实施强大的用户名和密码方案。
0
虽然您实际上增加了另一个密码,但您并未真正提高安全性,因此您可以将其视为使密码更长,尽管是非秘密部分。要真正提高安全性,你应该添加他们必须拥有的东西,比如安全令牌或智能卡,而不是要记住更多的事情。
0
如果您的安全真的需要双因素身份验证,您应该明确a)正确执行b)使用现有供应商的安全令牌产品。
当然历史上secureID一直是主要的供应商,它的标记通常显示不断变化的基于时间的伪随机数。然而,其他可用的,其安全性已被公开批评。
但是如果没有明确的策略和体系结构,你就无法做到这一点。如果没有运营或支持人员要求,您不能坚持双因素认证,这可能会涉及一些基础设施更改,您的运营工程师也会购买。
相关问题
- 1. Heroku双因素认证多设备?
- 2. 双因素认证如何与随机数一起工作?
- 3. VSO - 2因素认证
- 4. 认证机制
- 5. 如何使用PHP创建谷歌双因素认证?
- 6. 更改双因素认证休息的Heroku的API调用
- 7. Keyrock启用双因素身份验证
- 8. Twilio SMs双因素身份验证
- 9. Identity Server 3双因素身份验证
- 10. Node.js双因素身份验证
- 11. 绕过Google双因素身份验证
- 12. Microsoft outlook的双因素身份验证
- 13. 定制plone登录进行双因素验证
- 14. 在Dovecot编辑password_query 2因素认证
- 15. 传播认证协议,支持多因素认证
- 16. 使用数字证书进行双因素身份验证
- 17. TLS双向认证
- 18. 双因素柱状图中
- 19. 双因素身份验证不包含定义GetEmailConfirmationTokenAsync
- 20. 使用双因素身份验证的Bitbucket API
- 21. 使用SHIRO的双因素身份验证
- 22. 无法配置UserCookie为双因素身份验证
- 23. 如何使用ASP.net Identity 2.0设置双因素身份验证?
- 24. WCF中的自定义双因素身份验证
- 25. Azure cmdlet - 使用双因素身份验证时会话无效
- 26. 使用双因素身份验证的SVN
- 27. 在Google Cloud Plaform中启用双因素验证
- 28. 使用Google双因素验证与mu4e和Gmail时出错
- 29. GCE上的双因素身份验证以防止删除
- 30. 的Sharepoint双认证WCF
我投票结束这个问题作为离题,因为它属于security.stackexchange.com –