Sicherheit über Benutzername/Passwort hinaus?

Question 1

Aufbauend auf Dans Aussage erhalten Sie keine zusätzliche Sicherheit durch zusätzliche Komplexität. Sie benötigen zusätzlicheFaktorender Authentifizierung. Schauen Sie sichZwei-Faktor-Authentifizierungfür eine Liste verschiedener Lösungen und eine allgemeine Beschreibung der Vorgehensweise. Die Authentifizierung lässt sich in drei Hauptkategorien unterteilen:

Etwas haben (Schlüsselanhänger, Chipkarte, Handy)
Etwas wissen (Passwort, digitales Zertifikat (Es ist nur ein wirklich langes Passwort!))
Sei jemand (Fingerabdruck, Netzhautabdruck)

Der allgemeine Konsens ist, dass Sie mindestenszweider ersteren, um zuverlässige Sicherheit zu haben. Duplikate sind nutzlos (zwei Passwörter sind nicht besser als eines. Zwei Schlüsselanhänger sind nicht besser als einer). Sie können ein Passwort fälschen, aber ein Schlüsselanhänger mit rollender Nummer schränkt die Nutzbarkeit ein. Sie können jemanden bewusstlos machen und einen Fingerabdruck stehlen (yay Hollywood-Filme), aber dann können Sie sein Passwort nicht herausfinden.

Beachten Sie, dass Schlüsselanhänger kein weiteres Gerät am Schlüsselbund des Benutzers sein müssen, sondern einfach ein separates Gerät vom Computer des Benutzers und an einem Ort, an dem sein Passwort gespeichert ist.niemalsgespeichert. Smartphones erfüllen diese Anforderungen normalerweise, und wenn Sie eine Anwendung entwickeln können, die auf den Smartphones der Benutzer läuft, können Sie möglicherweise die Kosten etwas senken. Es hängt davon ab, wie groß die Bereitstellung für das Unternehmen sein muss.

Auch,aus Liebe zu der Gottheit, die du verehrstErzwingen Sie keine maximale Passwortlänge.

Answer

Aufbauend auf Dans Aussage erhalten Sie keine zusätzliche Sicherheit durch zusätzliche Komplexität. Sie benötigen zusätzlicheFaktorender Authentifizierung. Schauen Sie sichZwei-Faktor-Authentifizierungfür eine Liste verschiedener Lösungen und eine allgemeine Beschreibung der Vorgehensweise. Die Authentifizierung lässt sich in drei Hauptkategorien unterteilen:

Etwas haben (Schlüsselanhänger, Chipkarte, Handy)
Etwas wissen (Passwort, digitales Zertifikat (Es ist nur ein wirklich langes Passwort!))
Sei jemand (Fingerabdruck, Netzhautabdruck)

Der allgemeine Konsens ist, dass Sie mindestenszweider ersteren, um zuverlässige Sicherheit zu haben. Duplikate sind nutzlos (zwei Passwörter sind nicht besser als eines. Zwei Schlüsselanhänger sind nicht besser als einer). Sie können ein Passwort fälschen, aber ein Schlüsselanhänger mit rollender Nummer schränkt die Nutzbarkeit ein. Sie können jemanden bewusstlos machen und einen Fingerabdruck stehlen (yay Hollywood-Filme), aber dann können Sie sein Passwort nicht herausfinden.

Beachten Sie, dass Schlüsselanhänger kein weiteres Gerät am Schlüsselbund des Benutzers sein müssen, sondern einfach ein separates Gerät vom Computer des Benutzers und an einem Ort, an dem sein Passwort gespeichert ist.niemalsgespeichert. Smartphones erfüllen diese Anforderungen normalerweise, und wenn Sie eine Anwendung entwickeln können, die auf den Smartphones der Benutzer läuft, können Sie möglicherweise die Kosten etwas senken. Es hängt davon ab, wie groß die Bereitstellung für das Unternehmen sein muss.

Auch,aus Liebe zu der Gottheit, die du verehrstErzwingen Sie keine maximale Passwortlänge.

Question 2

Da Mobiltelefone heutzutage an den meisten Orten mit Internetzugang weit verbreitet sind,
ist ein Zwei-Faktor-Authentifizierungsmechanismus, bei dem das Mobiltelefon als zweiter Punkt verwendet wird, sehr sinnvoll.

SogarGoogle ist vor kurzem in diesen Kreis eingetreten.

Es gibt Fälle, in denen das Telefon nicht erreichbar ist oder Sie nicht möchten, dass der Kunde die Zeitverzögerung der mobilen zweiten Faktorsequenz abwartet.
Hier ist ein Trick, der möglicherweise bereits patentiert und/oder weit verbreitet ist :-)
Ich erinnere mich, in einer technischen Präsentation ein Schema gesehen zu haben, bei dem ein Einmalcode verwendet wurde, der dem Kunden im Voraus zugeschickt wurde. Wenn er den ihm zur Verfügung stehenden Code verwendete, wurde der neue an sein Mobiltelefon gesendet – der vorherige verfiel, wenn diese Zusendung erfolgte. Es war ein sehr einfaches und interessantes Schema.

Es ist wichtig zu wissen, dass Zwei- oder Multi-Faktor-Authentifizierungen die Bedeutung eines guten Passworts nicht schmälern, da der Benutzer lernt, es besser zu schützen.

^{Ich habe übrigens schon von Leuten gehört, die ihre Hardware-Anhänger verlegt haben, wodurch die 8-stelligen Authentifizierungssequenzen verloren gingen, während sie ihre jetzt nicht mehr so wichtigen Passwörter offen herumliegen ließen (oder in ihren Brieftaschen). Mit dem zweiten Faktor fühlen sich die Leute also manchmal in falscher Sicherheit, weil sie denken, sie hätten ihre sprichwörtlichen Eier in verschiedene Körbe gelegt.}

Answer

Da Mobiltelefone heutzutage an den meisten Orten mit Internetzugang weit verbreitet sind,
ist ein Zwei-Faktor-Authentifizierungsmechanismus, bei dem das Mobiltelefon als zweiter Punkt verwendet wird, sehr sinnvoll.

SogarGoogle ist vor kurzem in diesen Kreis eingetreten.

Es gibt Fälle, in denen das Telefon nicht erreichbar ist oder Sie nicht möchten, dass der Kunde die Zeitverzögerung der mobilen zweiten Faktorsequenz abwartet.
Hier ist ein Trick, der möglicherweise bereits patentiert und/oder weit verbreitet ist :-)
Ich erinnere mich, in einer technischen Präsentation ein Schema gesehen zu haben, bei dem ein Einmalcode verwendet wurde, der dem Kunden im Voraus zugeschickt wurde. Wenn er den ihm zur Verfügung stehenden Code verwendete, wurde der neue an sein Mobiltelefon gesendet – der vorherige verfiel, wenn diese Zusendung erfolgte. Es war ein sehr einfaches und interessantes Schema.

Es ist wichtig zu wissen, dass Zwei- oder Multi-Faktor-Authentifizierungen die Bedeutung eines guten Passworts nicht schmälern, da der Benutzer lernt, es besser zu schützen.

^{Ich habe übrigens schon von Leuten gehört, die ihre Hardware-Anhänger verlegt haben, wodurch die 8-stelligen Authentifizierungssequenzen verloren gingen, während sie ihre jetzt nicht mehr so wichtigen Passwörter offen herumliegen ließen (oder in ihren Brieftaschen). Mit dem zweiten Faktor fühlen sich die Leute also manchmal in falscher Sicherheit, weil sie denken, sie hätten ihre sprichwörtlichen Eier in verschiedene Körbe gelegt.}

Question 3

Abgesehen von der Hardware laufen die meisten zusätzlichen Sicherheitsmaßnahmen darauf hinaus, den Benutzern lediglich zu sagen, dass sie zwei Passwörter statt einem verwenden sollen. Solange sie ein starkes Passwort haben, bringt das keinen Mehrwert. Es gibt andere spezifische Sicherheitsmaßnahmen für andere Zwecke. Bei meiner Bank gebe ich beispielsweise zuerst meinen Benutzernamen ein, und dann erscheint ein von mir ausgewähltes Bild, das mir „beweist“, dass ich auf der richtigen Website bin. Dies lässt sich jedoch leicht durch eine nicht legitime Website umgehen, die mein Bild von der legitimen Website abruft.

Letztendlich glaube ich nicht, dass man softwareseitig etwas Besseres tun kann, um die Sicherheit zu erhöhen (abgesehen von den normalen Verfahren, wie z. B. niemals Passwörter im Klartext zu speichern, https zu verwenden usw.), als einfach ein stärkeres Passwort zu erzwingen.

Dennoch können Sie viel tun, um den Anschein von Sicherheit zu erwecken. Einige Banken machen es beispielsweise so, dass Ihre Antwort zusätzlich zur Eingabe Ihres Passworts eine Sicherheitsfrage ist. Es gibt einige Möglichkeiten, mithilfe von Software echte Sicherheit zu schaffen, beispielsweise durch IP-Filterung, aber das ist für die meisten Webanwendungen nicht praktikabel.

Wie Sie sagten, gibt es verschiedene Hardwarelösungen wie Schlüsselanhänger. Wenn Sie eine wirklich zusätzliche Sicherheitsebene hinzufügen möchten, ist dies meiner Meinung nach Ihre beste Option.

Answer

Abgesehen von der Hardware laufen die meisten zusätzlichen Sicherheitsmaßnahmen darauf hinaus, den Benutzern lediglich zu sagen, dass sie zwei Passwörter statt einem verwenden sollen. Solange sie ein starkes Passwort haben, bringt das keinen Mehrwert. Es gibt andere spezifische Sicherheitsmaßnahmen für andere Zwecke. Bei meiner Bank gebe ich beispielsweise zuerst meinen Benutzernamen ein, und dann erscheint ein von mir ausgewähltes Bild, das mir „beweist“, dass ich auf der richtigen Website bin. Dies lässt sich jedoch leicht durch eine nicht legitime Website umgehen, die mein Bild von der legitimen Website abruft.

Letztendlich glaube ich nicht, dass man softwareseitig etwas Besseres tun kann, um die Sicherheit zu erhöhen (abgesehen von den normalen Verfahren, wie z. B. niemals Passwörter im Klartext zu speichern, https zu verwenden usw.), als einfach ein stärkeres Passwort zu erzwingen.

Dennoch können Sie viel tun, um den Anschein von Sicherheit zu erwecken. Einige Banken machen es beispielsweise so, dass Ihre Antwort zusätzlich zur Eingabe Ihres Passworts eine Sicherheitsfrage ist. Es gibt einige Möglichkeiten, mithilfe von Software echte Sicherheit zu schaffen, beispielsweise durch IP-Filterung, aber das ist für die meisten Webanwendungen nicht praktikabel.

Wie Sie sagten, gibt es verschiedene Hardwarelösungen wie Schlüsselanhänger. Wenn Sie eine wirklich zusätzliche Sicherheitsebene hinzufügen möchten, ist dies meiner Meinung nach Ihre beste Option.

Question 4

ich fandTelefonfaktorvor einiger Zeit, kann aber nur für Kunden in einer begrenzten Anzahl von Ländern verwendet werden.

Answer

ich fandTelefonfaktorvor einiger Zeit, kann aber nur für Kunden in einer begrenzten Anzahl von Ländern verwendet werden.

Sicherheit über Benutzername/Passwort hinaus?

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen