我正在构建一个金融服务Web应用程序,我的公司希望将facebook身份验证纳入其中。因为我们在金融界,安全是至关重要的。我正在使用facebook PHP SDK进行集成,但我真的很关心会话劫持。在我的大学时代,我会在周围劫持我周围的人(这非常有趣),但我正试图找到一种方法来阻止我的申请。
我的公司希望验证过程尽可能简化,因此这意味着不需要双因素身份验证。但是,在Facebook登录后提示用户输入另一条信息似乎是最安全的方式。我想知道你们中的任何一个聪明的人是否可以提出一些其他方法来确保这一点,同时保持整个过程简单快捷?
答案 0 :(得分:0)
另一条信息仅在P(攻击者拥有额外信息|攻击者劫持会话)较低时才有用。
如果您第一次与他们互动(或以安全敏感的方式进行交互)时可以使用复杂的第二个因素,然后记住他们连接的机器跳过后续访问的第二个因素,那么您可以简化一般的互动。
首次要求在他们的最后一个声明中使用他们的平衡来验证设备可能是一个很好的第二个因素 - 这将证明他们已经知道可能与该帐户相关的特权。
或者,将带有随机数的文本发送到与该帐户关联的移动设备可以作为第二个因素,假设他们没有从该设备连接。