我有一个webapp,需要超出普通Web应用程序的安全性。当任何用户访问域名时,会显示两个文本字段,用户名字段和密码字段。如果他们输入有效的用户/通行证,他们就可以访问Web应用程序。标准的东西。
但是,我正在寻找超出此标准设置的额外安全性。理想情况下,它将是一个软件解决方案,但我也开放硬件解决方案(硬件=密钥卡),甚至程序更改(例如,一次在密码板上使用密码)。
webapp的独特之处在于我们提前了解所有用户,并创建用户名和密码并将其提供给他们。从这个意义上讲,我们可以确信用户名和密码是“强大的”。
但是,我们的客户要求提供额外的安全性。任何人都有关于如何为安全性添加另一层复杂性的想法吗?
答案 0 :(得分:9)
我们公司使用PhoneFactor,我们非常喜欢它。
我们过去也使用过Safeword Tokens。
但是,这不是本书中唯一的游戏。我开始用谷歌搜索“Two factor authentication”
OWASP guide to authentication是另一个开始的好地方。实际上,OWASP是我第一个寻找任何网络安全问题的地方。
答案 1 :(得分:1)
额外安全性的另一个选择是使用一块物理“证据”,例如智能卡:Protect Your Data Via Managed Code And The Windows Vista Smart Card APIs
答案 2 :(得分:0)
网络应用可以通过许多不同的方面改进其安全性。在开始之前,您需要确定您的问题区域可能是什么以及您想要关注什么。
您可以通过让第三方对您的应用程序进行渗透测试(PEN测试)来启动此过程。这应该是您可以处理的快速列表,当您获得及格分数时,可以在您的销售文献中使用。
接下来,您需要与客户交谈,了解“更安全”的含义。它只是像David和Mitch所提到的双因素身份验证,还是更关注诸如动态数据(ARP中毒,SSL等),静态数据(从硬盘加密到数据库加密的所有内容),授权,模仿(跨站点和重播),人员(正在进行的背景检查,谁可以访问机器)等。
安全概念涵盖了很多方面。