Безопасность помимо имени пользователя/пароля?

Question

У меня есть webapp, который требует безопасности, отличной от обычной веб-приложения. Когда любой пользователь посещает имя домена, они представлены двумя текстовыми полями, полем имени пользователя и паролем. Если они вводят действительный пользователь/пропуск, они получают доступ к веб-приложению. Стандартный материал.

Тем не менее, я ищу дополнительную безопасность за пределами этой стандартной настройки. В идеале это было бы программным решением, но я также открыт для аппаратного решения (hardware = key fobs) или даже процедурные изменения (например, один раз использовать пароли на панели ввода пароля).

Webapp уникален тем, что мы знаем всех наших пользователей раньше времени, и мы создаем их имя пользователя и пароль и передаем их им. В этом смысле мы можем быть уверены, что имя пользователя и пароль являются «сильными».

Однако наши клиенты запросили дополнительную безопасность помимо этого. У кого-нибудь есть идеи о том, как добавить еще один уровень сложности в безопасность?

Answer 1

Наша компания использовала PhoneFactor, и мы ее абсолютно любим.

Мы также использовали Safeword Tokens в прошлом.

Однако, это не единственная игра в книге. Я бы начал с поискового запроса «Two factor authentication»

OWASP guide to authentication - еще одно хорошее место для начала. На самом деле, OWASP - это первое место, где я искал ЛЮБОЙ вопрос безопасности в Интернете.

Answer 2

Еще один вариантом для дополнительной безопасности является использовать часть физических «доказательств», такие как смарт-карта: Protect Your Data Via Managed Code And The Windows Vista Smart Card APIs

Answer 3

Есть много различных областей, которые веб-приложения могут иметь их безопасность улучшены. Прежде чем приступить к работе, вам нужно определить, какие именно проблемы могут возникнуть, и на чем вы хотите сосредоточиться.

Вы можете начать этот процесс, проведя пробную проверку (PEN Testing) третьей стороной в своем приложении. Это должно дать быстрый список вещей, о которых вы можете позаботиться, и, когда у вас есть пройденный класс, вы можете использовать в своей литературе по продажам.

Далее вы захотите поговорить с вашими клиентами, чтобы понять, что они подразумевают под «более безопасным». Это просто двухфакторная аутентификация, например Дэвид и Митч, или они больше обеспокоены такими вещами, как данные в движении (ARP Poisoning, SSL и т. П.), Данные в состоянии покоя (все от шифрования жесткого диска до шифрования базы данных), авторизация, олицетворения (кросс-сайт и воспроизведение), персонал (текущие фоновые проверки, кто имеет доступ к машинам) и т. д.

Концепция безопасности охватывает много земли.