Eu tenho um webapp que requer segurança além de um aplicativo web normal. Quando qualquer usuário visita o nome de domínio, são apresentados dois campos de texto, um campo de nome de usuário e um campo de senha. Se eles inserirem um usuário/senha válido, eles terão acesso ao aplicativo da web. Coisas padrão.
No entanto, estou procurando segurança adicional além dessa configuração padrão. Idealmente, seria uma solução de software, mas também estou aberto para soluções de hardware (hardware = chaveiros) ou até mesmo alterações procedimentais (uso único de senhas em um teclado de senha, por exemplo).
O webapp é único porque conhecemos todos os nossos usuários com antecedência, criamos seu nome de usuário e senha e os fornecemos a eles. Nesse sentido, podemos ter certeza de que o nome de usuário e a senha são “fortes”.
No entanto, nossos clientes solicitaram segurança adicional além disso. Alguém tem alguma idéia de como adicionar outra camada de complexidade à segurança?
Responder1
Com base no que Dan disse, você não obterá nenhuma segurança adicional adicionando complexidade. Você precisa de adicionalfatoresde autenticação. ConfiraAutenticação de dois fatorespara obter uma lista de várias soluções e uma descrição geral da prática. A autenticação se divide em 3 categorias principais:
- Tenha algo (chaveiro, cartão inteligente, celular)
- Saiba algo (senha, certificado digital (é apenas uma senha muito longa!))
- Seja alguém (impressão digital, impressão Retina)
O consenso geral é que você precisa de pelo menosdoisdo primeiro para ter segurança confiável. Duplicatas são inúteis (duas senhas não são melhores que uma. Dois chaveiros não são melhores que um). Você pode roubar uma senha, mas um chaveiro com número contínuo limita a usabilidade. Você pode nocautear alguém e roubar uma impressão digital (oba, filmes de Hollywood), mas não conseguirá a senha.
Observe que os chaveiros não precisam ser outro dispositivo nas chaves do usuário, simplesmente um dispositivo separado do computador e um lugar onde sua senha estejanuncaarmazenado. Os smartphones geralmente atendem a esse perfil e, se você puder desenvolver um aplicativo que rode nos smartphones dos usuários, poderá reduzir alguns custos. Depende do tamanho da implantação que a empresa precisa.
Também,pelo amor de qualquer divindade que você adoranão imponha um comprimento máximo de senha.
Responder2
Como os telefones celulares são predominantes na maioria dos locais com acesso à Internet atualmente,
faz muito sentido ver um mecanismo de autenticação de dois fatores que usará o telefone celular como segundo ponto.
AtéO Google entrou recentemente nesse círculo.
Há casos em que o telefone não está acessível ou você não deseja que o cliente espere o intervalo de tempo da sequência do segundo fator móvel.
Aqui está um truque que pode já estar patenteado e/ou amplamente utilizado :-)
Lembro-me de ter visto em uma apresentação técnica um esquema que usava um código único que era enviado ao cliente com antecedência. Quando utilizavam o que estava disponível, o novo era despachado para seus celulares - o anterior expiraria quando esse despacho acontecesse. Foi um esquema muito simples e interessante.
É importante saber que autenticações duplas ou multifatoriais não diminuem a importância de uma boa senha que o usuário aprenda a proteger melhor.
Além disso, ouvi falar de pessoas que perderam seus controles de hardware que assinalavam as sequências de autenticação de 8 dígitos enquanto deixavam suas senhas, agora não tão críticas, expostas (ou em suas carteiras). Assim, com o segundo factor, as pessoas podem por vezes sentir uma falsa segurança ao pensar que espalharam os seus proverbiais ovos em cestos diferentes.
Responder3
Além do hardware, a maioria das medidas de segurança adicionais consiste apenas em dizer aos usuários que tenham 2 senhas em vez de 1. Contanto que tenham uma senha forte, isso não agrega valor. Existem outras medidas de segurança específicas para outros fins. Como no meu banco, primeiro digito meu nome de usuário e, em seguida, uma imagem que selecionei aparece, "provando" que estou no site certo. Mas isso é facilmente derrotado com um site ilegítimo que recupera minha foto do site legítimo.
Em última análise, não acho que haja algo que você possa fazer do lado do software para adicionar segurança (além dos procedimentos normais, como nunca armazenar senhas em texto simples, usar https, etc.) melhor do que apenas forçar uma senha mais forte.
Dito isto, há muito que você pode fazer para aumentar a aparência de segurança. Como alguns bancos fazem, tornando sua resposta uma pergunta de segurança e digitando sua senha. Existem algumas maneiras de adicionar segurança real usando software, como filtragem de IP, mas isso não é prático para a maioria dos aplicativos da web.
Como você afirmou, existem várias soluções de hardware, como porta-chaves. Se você deseja adicionar uma camada extra de segurança, acredito que esta seja sua melhor opção.
Responder4
eu encontreiFator de telefonehá algum tempo, mas só pode ser usado para clientes em um número limitado de países.