我的公司正在Django中创建一个SaaS。我们知道一些企业客户需要增强安全性。我们已经在使用https。
添加FOB安全性(例如RSI)是否会让它变得有价值?还是结束了?
答案 0 :(得分:1)
这并不困难 - 框架附带authentication backend support(dev material),它允许您自定义身份验证过程中发生的事情并提供多种身份验证方法。我们使用它来对API的其他部分进行身份验证查询;这样做并非不可能。后端背后的概念是现有的身份验证代码都“正常工作”,您可以根据需要打开/关闭后端。
我知道的一种类似于fob的产品被称为yubikey,在this question中提到过;一个快速的谷歌搜索出现了yubikey backend - 从来没有使用它,但是代码应该让你知道这些事情是如何完成的。
从安全角度来看,某种形式的双因素身份验证会增加一个额外的层次 - 攻击者必须打败;一定要看看该计划的运作方式。可以拦截仅传输单个可确定消息的内容,而生成一次性密码的方案会增加额外的障碍,因为虽然攻击者可能通过会话劫持获得访问权限,但是具有不同的方案意味着攻击者必须知道下一个有效令牌
它是否“值得”完全取决于您所保护的信息的价值。如果您要保护客户的个人财务详细信息,您的信任/商誉(以及行业法规)可能会要求您添加额外的因素。如果您正在构建一个Web应用程序,以便人们可以分享猫的照片,可能不会。