1. Zuhause
  2. Frage und Antwort
  3. Sicherheit über einen Benutzernamen/ein Passwort hinaus?

Sicherheit über einen Benutzernamen/ein Passwort hinaus?

2010-10-11 1 views
5

Ich habe eine Webanwendung, die Sicherheit erfordert, die über die einer normalen Webanwendung hinausgeht. Wenn ein Benutzer den Domänennamen besucht, werden ihm zwei Textfelder, ein Benutzernamefeld und ein Kennwortfeld angezeigt. Wenn sie einen gültigen Benutzer/Ausweis eingeben, erhalten sie Zugriff auf die Webanwendung. Standard Zeug.Sicherheit über einen Benutzernamen/ein Passwort hinaus?

Ich bin jedoch auf der Suche nach zusätzlicher Sicherheit über dieses Standard-Setup hinaus. Idealerweise wäre es eine Softwarelösung, aber ich bin auch offen für Hardware-Lösungen (Hardware = Key-Fobs), oder sogar prozedurale Änderungen (Einmalige Verwendung von Passwörtern auf einem Passwort-Pad zum Beispiel).

Die Webapp ist einzigartig, da wir alle unsere Benutzer im Voraus kennen, und wir erstellen ihren Benutzernamen und ihr Passwort und geben es ihnen. In diesem Sinne können wir sicher sein, dass der Benutzername und das Passwort "stark" sind.

Unsere Kunden haben jedoch zusätzliche Sicherheit verlangt. Hat jemand Ideen, wie man der Sicherheit eine weitere Ebene der Komplexität hinzufügen kann?

Quelle

2010-10-11 bluedevil2k

Antwort

9

Unsere Firma verwendet PhoneFactor und wir lieben es absolut.

Wir haben auch Safeword Tokens in der Vergangenheit verwendet.

Allerdings ist es nicht das einzige Spiel in dem Buch. Ich würde anfangen zu googeln "Two factor authentication"

Die OWASP guide to authentication ist ein weiterer guter Ort, um zu starten. Eigentlich ist OWASP der erste Ort, an dem ich nach einer Web-Sicherheitsfrage Ausschau halten würde.

Quelle

2010-10-11 16:52:54 David

+2

+1. Interessant: habe ich nicht gesehen –

+0

Blizzard bietet ein optionales käufliches Sicherheitstoken, das das gleiche tut http://eu.blizzard.com/support/article.xml?locale=de_DE&articleId=28152 Ein einmaliger Schlüssel, der generiert wird die Fliege pro Login. – Davy8

0

Es gibt viele verschiedene Bereiche, die Web-Anwendungen ihre Sicherheit verbessert haben. Bevor Sie beginnen, müssen Sie bestimmen, was genau Ihre Problembereiche sein könnten und worauf Sie sich konzentrieren möchten.

Sie könnten diesen Prozess starten, indem Sie von einem Drittanbieter Penetrationstests (PEN-Tests) für Ihre Anwendung durchführen lassen. Dies sollte eine schnelle Hitliste von Dingen geben, auf die Sie achten können, und wenn Sie eine bestandene Note haben, ist etwas in Ihrer Verkaufsliteratur zu verwenden.

Als nächstes möchten Sie mit Ihren Kunden sprechen, um zu verstehen, was sie unter "sicherer" verstehen. Ist es einfach eine Zwei-Faktor-Authentifizierung wie David und Mitch erwähnt oder sind sie mehr besorgt über Dinge wie Daten in Bewegung (ARP Poisoning, SSL und dergleichen), Daten im Ruhezustand (alles von Festplattenverschlüsselung bis Datenbankverschlüsselung), Autorisierung, Identitätswechsel (Cross Site und Replay), Personal (laufender Hintergrund prüft wer Zugang zu den Maschinen hat), etc ..

Das Konzept der Sicherheit umfasst eine Menge Boden.

Quelle

2010-10-11 17:11:13 NotMe

 Verwandte Themen

  • Keine verwandten Themen^_^