因此,对于安全性非常重要的应用程序 - 如何实现挑战问题的想法。那是......你会:
我目前正在使用外汇平台...在asp.net/c#中思考如何实现该功能以获得最佳效果。我认为最好也是唯一的方法是检查cookie的变化 - 因为如果我基于ip - ip可能是客户端的isp的dinamic - 如果我依靠计算机名称然后它不是那么明亮,因为计算机可能比有问题的用户使用...当然,如果我依靠cookie,那么浏览器可能会被多个人使用......但这就是为什么这是一个额外的安全措施,而不是非常密码/用户名验证。 获取计算机名称(如果可能??)+ cookie更改似乎是最好的方法。我将其标记为c#/ java,因为这两天在认证和安全方面非常普遍。 10倍!
答案 0 :(得分:3)
Facebook做的一件事我觉得很好......你可以启用一个选项,让他们在你的浏览器中放一个cookie ...你使用的每台电脑都是唯一的...那么如果浏览器中没有cookie的人登录到您的帐户,他们发送电子邮件给您让您知道...我认为他们将未知计算机的源IP地理定位并将其放入电子邮件中...所以如果你住在美国,你就不会期待从俄罗斯登录。不是每个人都接受cookie,但对于那些人来说,这个可选功能很棒,金融公司也应该这样做......
我的银行(以及其他许多人)依赖某种形式的常数two factor auth可能就像你最好的朋友的名字一样简单,或者如果他们像我的在线经纪人那样,超过某个平衡门槛的高价值账户获得基于时间的密码令牌。您必须先使用密码登录,然后使用令牌编号登录。
大多数金融网站使用他们选择为您的密码登录显示的网站上的托管图片...这有助于降低网络钓鱼损失的风险。