1. casa
  2. Domanda e risposta
  3. Sicurezza oltre un nome utente/password?

Sicurezza oltre un nome utente/password?

2010-10-11 19 views
5

Ho una webapp che richiede sicurezza oltre quella di una normale applicazione web. Quando un utente visita il nome del dominio, viene presentato con due campi di testo, un campo nome utente e un campo password. Se inseriscono un utente/pass valido, ottengono l'accesso all'applicazione web. Roba standard.Sicurezza oltre un nome utente/password?

Tuttavia, sto cercando ulteriore protezione oltre questa configurazione standard. Idealmente sarebbe una soluzione software, ma sono anche aperto per la soluzione hardware (hardware = key fobs), o anche per le modifiche procedurali (ad esempio, password monouso su una password pad).

La webapp è unica in quanto conosciamo tutti i nostri utenti in anticipo, e creiamo il loro nome utente e password e glielo diamo. In questo senso, possiamo essere certi che il nome utente e la password sono "forti".

Tuttavia, i nostri clienti hanno richiesto ulteriore sicurezza oltre a questo. Qualcuno ha qualche idea su come aggiungere un ulteriore livello di complessità alla sicurezza?

fonte

2010-10-11 bluedevil2k

risposta

9

La nostra azienda ha utilizzato PhoneFactor e lo adoriamo assolutamente.

Abbiamo anche utilizzato Safeword Tokens in passato.

Tuttavia, non è l'unico gioco del libro. Vorrei iniziare su Google "Two factor authentication"

Il OWASP guide to authentication è un altro buon punto di partenza. In realtà, OWASP è il primo posto in cui cerco QUALSIASI domanda di sicurezza web.

fonte

2010-10-11 16:52:54 David

+2

+1. Interessante: non ho visto quello –

+0

Blizzard fornisce un token di sicurezza acquistabile facoltativo che fa la stessa cosa http://eu.blizzard.com/support/article.xml?locale=en_GB&articleId=28152 Una chiave una tantum che viene generata su il volo per accesso. – Davy8

0

Ci sono un sacco di diverse aree che le applicazioni web possono avere la loro sicurezza migliorato. Prima di iniziare è necessario determinare quali potrebbero essere esattamente le aree problematiche e su cosa concentrarsi.

È possibile avviare questo processo facendo eseguire a terzi test di penetrazione (test PEN) sulla propria applicazione. Questo dovrebbe dare una rapida lista di cose di cui puoi occuparti e, quando hai un voto positivo, è qualcosa da usare nella tua documentazione di vendita.

Successivamente vorrete parlare con i vostri clienti per capire cosa intendono con "più sicuro". È semplicemente un'autenticazione basata su due fattori come David e Mitch menzionati o sono più preoccupati di cose come dati in movimento (avvelenamento ARP, SSL e simili), dati a riposo (tutto dalla crittografia del disco rigido alla crittografia del database), autorizzazione, imitazione (cross site e replay), personale (controlli in corso su chi ha accesso alle macchine), ecc.

Il concetto di sicurezza copre molto terreno.

fonte

2010-10-11 17:11:13 NotMe

Problemi correlati

 Problemi correlati