사용자 이름/비밀번호 이상의 보안이 필요하십니까?

Dan을 기반으로 구축하면 복잡성을 추가해도 추가 보안을 얻을 수 없다고 말했습니다. 추가로 필요합니다요인인증의. 확인해 보세요2단계 인증다양한 솔루션 목록과 실습에 대한 일반적인 설명을 확인하세요. 인증은 3가지 주요 범주로 분류됩니다.

• 무언가를 가지고 있습니다(열쇠고리, 스마트카드, 휴대폰)
• 알고 있는 것(비밀번호, 디지털 인증서(정말 긴 비밀번호일 뿐입니다!))
• 누군가가 되어 보세요(지문, 망막 인쇄)

일반적인 합의는 최소한둘전자는 안정적인 보안을 제공합니다. 중복된 비밀번호는 쓸모가 없습니다. 두 개의 비밀번호는 하나보다 나을 수 없습니다. 전자열쇠 두 개는 하나보다 나을 수 없습니다. 비밀번호를 피싱할 수 있지만 롤링 숫자 열쇠 고리는 유용성을 제한합니다. 누군가를 기절시키고 지문을 훔칠 수 있지만(할리우드 영화 예), 비밀번호를 알아낼 수는 없습니다.

참고로, 전자열쇠는 사용자의 키체인에 있는 또 다른 장치일 필요는 없으며 단순히 컴퓨터와 별도의 장치이고 암호가 있는 곳에 있어야 합니다.절대저장되었습니다. 스마트폰은 일반적으로 이 요구 사항에 적합하며 사용자의 스마트폰에서 실행되는 애플리케이션을 개발할 수 있으면 비용을 어느 정도 줄일 수 있습니다. 회사에 필요한 배포 규모에 따라 다릅니다.

또한,당신이 숭배하는 신에 대한 사랑 때문에최대 비밀번호 길이를 강요하지 마세요.

요즘 인터넷 접속이 가능한 대부분의 장소에서 휴대폰이 널리 사용되고 있기 때문에
휴대폰을 두 번째 지점으로 사용하는 2단계 인증 메커니즘을 보는 것이 합리적입니다.

심지어Google은 최근 해당 서클에 합류했습니다..

전화가 연결되지 않거나 고객이 모바일 2단계 시퀀스의 시간 지연을 기다리지 않기를 원하는 경우가 있습니다.
다음은 이미 특허를 받았거나 널리 사용되는 트릭입니다. :-)
기술 프레젠테이션에서 고객에게 미리 전송된 일회성 코드를 사용하는 방식을 본 기억이 납니다. 그들이 사용 가능한 것을 사용했을 때, 새로운 것이 그들의 휴대폰으로 발송되었습니다. 이전 것은 이 발송이 발생하면 만료될 것입니다. 그것은 매우 간단하고 흥미로운 계획이었습니다.

2단계 또는 다단계 인증이 사용자가 더 잘 보호하기 위해 배우는 좋은 비밀번호의 중요성을 감소시키지 않는다는 것을 아는 것이 중요합니다.

^{여담으로, 사람들이 지금은 별로 중요하지 않은 비밀번호를 공개된(또는 지갑에) 남겨둔 채 8자리 인증 시퀀스를 체크하는 하드웨어 전자시계를 잃어버렸다는 이야기를 들었습니다. 따라서 두 번째 요인으로 인해 사람들은 속담에 나오는 계란을 다른 바구니에 뿌렸다는 생각으로 때때로 잘못된 안전감을 느낄 수 있습니다.}

하드웨어를 제외하고 대부분의 추가 보안 조치는 사용자에게 1개가 아닌 2개의 비밀번호를 갖도록 지시하는 것입니다. 강력한 비밀번호를 가지고 있는 한 이는 아무런 가치도 없습니다. 다른 목적을 위한 다른 특정 보안 조치가 있습니다. 은행과 마찬가지로 먼저 사용자 이름을 입력한 다음 선택한 사진이 팝업으로 나타나 내가 올바른 웹사이트에 있다는 것을 "증명"합니다. 그러나 이것은 합법적인 웹사이트에서 내 사진을 검색하는 불법적인 웹사이트를 통해 쉽게 물리칠 수 있습니다.

궁극적으로 보안을 추가하기 위해 소프트웨어 측면에서 더 강력한 비밀번호를 강제하는 것보다 더 나은 보안을 추가할 수 있는 방법은 없다고 생각합니다(일반 텍스트 비밀번호를 저장하지 않거나 https를 사용하는 등의 일반적인 절차는 제외).

즉, 보안을 강화하기 위해 할 수 있는 일이 많이 있습니다. 일부 은행에서는 답변을 보안 질문으로 설정하고 비밀번호를 입력하는 방식으로 합니다. IP 필터링과 같은 소프트웨어를 사용하여 실제 보안을 추가하는 몇 가지 방법이 있지만 이는 대부분의 웹 애플리케이션에 실용적이지 않습니다.

말씀하신 대로 전자열쇠와 같은 여러 가지 하드웨어 솔루션이 있습니다. 보안을 더욱 강화하고 싶다면 이것이 최선의 선택이라고 생각합니다.

나는 찾았다PhoneFactor얼마 전이지만 제한된 수의 국가에 있는 고객에게만 사용할 수 있습니다.