我曾试图模仿RBS UK网站的类似系统。我实际上增加了实验的安全性。所以我在输入页面上使用了员工ID和验证码机制,一旦用户输入正确的员工ID和验证码,就会要求输入用户名和密码。所以我想知道从安全的角度来看..那里有员工ID以及Captcha它有什么意义吗?或者解释很简单,作为识别用户的另一件事。让我知道你的意见。
困惑?那么好吧。谢谢你,无论如何
答案 0 :(得分:6)
这不是two factor authentication,因为你只有一个因素 - 这个人“知道”。你没有的东西是“拥有”的东西(例如RSA代币或手机),或者“是”的东西(例如生物识别指纹或虹膜扫描仪)。
你做什么具有可用性的噩梦;员工ID + CAPTCHA +用户名+密码。除非你保护的是超级敏感的东西(在这种情况下你想要看看真正的双因素身份验证),你最好先实现一个强大的用户名和密码方案。
答案 1 :(得分:0)
虽然你实际上是在添加另一个密码,但你并没有真正提高安全性,所以你可以把它想象为使密码更长,尽管是非秘密部分。要真正提高安全性,您应该添加他们必须拥有的东西,例如安全令牌或智能卡,而不是要记住的一件事。
答案 2 :(得分:0)
如果您的安全性确实需要双因素身份验证,那么您显然应该a)正确执行b)使用现有供应商的安全令牌产品。
当然,历史上secureID一直是主要的供应商,它的令牌通常会显示不断变化的基于时间的伪随机数。但是,其他的可用,其安全性受到了公开的批评。
但如果没有明确的战略和架构,你就无法做到这一点。您不能坚持为没有运营的用户或支持人员需要它的双因素身份验证,这可能涉及一些基础设施变更,以及您的运营工程师购买。