如何为Web应用程序实现反网络钓鱼机制

Question

我们有内部门户网站，我们将用于配置。如何实施反网络钓鱼机制 1.使用机制 2.如何使用
提前谢谢

Answer 1

网络钓鱼防护不仅适用于您的应用程序级别，还可以让您的用户了解网络钓鱼的内容。即使是顶级银行也容易受到网络钓鱼攻击。

我建议你：

• 通过添加有关应用程序中的网上诱骗的说明来了解您的用户
• 实施SSL证书以改善对网上诱骗的保护https://www.liquidweb.com/blog/index.php/secure-your-website-ssl-certificates-with-phishing-protection/（只是一个措施，它不能保证防弹）

我在几家银行看到的机制是：

• 让用户插入用户名
• 只显示用户之前在注册时选择的图片。
• 让用户接受他/她之前选择的图片
• 让用户插入密码

这样，如果用户是网络钓鱼攻击的受害者，攻击者不仅要知道他的用户名，还要知道用户选择的图像。

如果用户不存在，您应该设置假图像，以防止用户枚举攻击。