Tengo una aplicación web que requiere seguridad más allá de la de una aplicación web normal. Cuando cualquier usuario visita el nombre de dominio, se le presentan dos campos de texto, un campo de nombre de usuario y un campo de contraseña. Si ingresan un usuario/contraseña válido, obtienen acceso a la aplicación web. Cosas estándar.
Sin embargo, busco seguridad adicional más allá de esta configuración estándar. Idealmente, sería una solución de software, pero también estoy abierto a soluciones de hardware (hardware = llaveros) o incluso cambios de procedimiento (use contraseñas una sola vez en un teclado de contraseñas, por ejemplo).
La aplicación web es única porque conocemos a todos nuestros usuarios de antemano, creamos su nombre de usuario y contraseña y se los damos. En este sentido, podemos estar seguros de que el nombre de usuario y la contraseña son “fuertes”.
Sin embargo, nuestros clientes han solicitado seguridad adicional más allá de esto. ¿Alguien tiene alguna idea sobre cómo agregar otra capa de complejidad a la seguridad?
Respuesta1
Según lo dicho por Dan, no obtendrá ninguna seguridad adicional al agregar complejidad. Necesitas adicionalfactoresde autenticación. VerificarAutenticación de dos factorespara obtener una lista de diversas soluciones y una descripción general de la práctica. La autenticación se divide en 3 categorías principales:
- Tener algo (llavero, tarjeta inteligente, teléfono celular)
- Saber algo (Contraseña, certificado digital (¡Es una contraseña muy larga!))
- Ser alguien (huella digital, huella retina)
El consenso general es que se necesita al menosdosdel primero para tener una seguridad confiable. Los duplicados son inútiles (dos contraseñas no son mejores que una. Dos llaveros no son mejores que uno). Puedes hacer phishing con una contraseña, pero un llavero con número variable limita su usabilidad. Puedes noquear a alguien y robarle una huella digital (sí, películas de Hollywood), pero luego no podrás obtener su contraseña.
Tenga en cuenta que los llaveros no necesitan ser otro dispositivo en el llavero del usuario, simplemente un dispositivo separado de su computadora y en algún lugar donde se encuentre su contraseña.nuncaalmacenado. Los teléfonos inteligentes generalmente cumplen con este requisito, y si puedes desarrollar una aplicación que se ejecute en los teléfonos inteligentes de los usuarios, es posible que puedas reducir un poco los costos. Depende del tamaño de implementación que necesite la empresa.
También,por el amor de cualquier deidad que adorasno aplique una longitud máxima de contraseña.
Respuesta2
Dado que los teléfonos móviles prevalecen en la mayoría de los lugares con acceso a Internet hoy en día,
tiene mucho sentido ver un mecanismo de autenticación de dos factores que utilizará el teléfono móvil como segundo punto.
InclusoGoogle ha entrado recientemente en ese círculo.
Hay casos en los que no se puede acceder al teléfono o no se desea que el cliente espere durante el tiempo de espera de la secuencia del segundo factor móvil.
Aquí hay un truco que quizás ya esté patentado y/o sea de uso generalizado :-)
Recuerdo haber visto en una presentación técnica un esquema que usaba un código de un solo uso que se enviaba al cliente con anticipación. Cuando usaban el que tenían disponible, el nuevo se enviaba a sus teléfonos celulares; el anterior expiraría cuando ocurriera este envío. Fue un esquema muy simple e interesante.
Es importante saber que las autenticaciones de dos o múltiples factores no reducen la importancia de una buena contraseña que el usuario aprende a proteger mejor.
Además, he oído hablar de personas que extraviaron sus llaveros de hardware que marcaban las secuencias de autenticación de 8 dígitos mientras dejaban sus contraseñas ahora no tan críticas a la vista (o en sus billeteras). Entonces, con el segundo factor, las personas a veces pueden sentir una falsa seguridad al pensar que han puesto sus proverbiales huevos en diferentes canastas.
Respuesta3
Aparte del hardware, la mayoría de las medidas de seguridad adicionales consisten simplemente en decirle a los usuarios que tengan 2 contraseñas en lugar de 1. Mientras tengan una contraseña segura, esto no agrega ningún valor. Existen otras medidas de seguridad específicas para otros fines. Al igual que con mi banco, primero escribo mi nombre de usuario y luego aparece una imagen que seleccioné "demostrándome" que estoy en el sitio web correcto. Pero esto se puede solucionar fácilmente con un sitio web ilegítimo que recupera mi fotografía del sitio web legítimo.
En última instancia, no creo que haya nada que pueda hacer desde el lado del software para agregar seguridad (aparte de los procedimientos normales como nunca almacenar contraseñas en texto sin formato, usar https, etc.) mejor que simplemente forzar una contraseña más segura.
Dicho esto, hay muchas cosas que puedes hacer para aumentar la apariencia de seguridad. Como hacen algunos bancos, convierten su respuesta en una pregunta de seguridad y escriben su contraseña. Hay un par de formas de agregar seguridad real mediante software, como el filtrado de IP, pero esto no es práctico para la mayoría de las aplicaciones web.
Como dijiste, existen varias soluciones de hardware, como llaveros. Si desea agregar una capa adicional real de seguridad, creo que esta es su mejor opción.
Respuesta4
encontréFactor de teléfonohace un tiempo, pero solo puede ser utilizado por clientes en un número limitado de países.