我想知道除了使用用户和密码的传统登录之外,还可以采取哪些额外的安全措施。
你怎么看待这个:
_手动向每个客户端添加一个包含密钥的cookie
_这个cookie不是由网络服务器提供的,它实际上是“手动”复制到每台客户端计算机
如果客户端连接到web-app,则服务器会抓取该cookie,如果包含的密钥正常,则会显示传统的登录框,用户必须输入用户密码组合
_客户端和服务器之间的通信使用https加密
因此,潜在的入侵者首先需要从客户端计算机获取cookie,这只能访问客户端计算机。
这仅适用于非常小的用户群和愿意执行此手动工作的管理员。
答案 0 :(得分:2)
听起来你想要双因素身份验证。查看SecureId或其他一些方法,例如使用带有一次性密码的手机。
答案 1 :(得分:1)
不要打扰。你让自己的生活变得困难,并没有让恶意用户变得更加困难。此外,您正在使用户体验变得糟糕,因为如果他们清除了他们的cookie呢?如果有人将他们的计算机解锁,他们会在一次犯规中完全绕过你的整个想法。
坚持常见的身份验证。不要自己制作,因为已经找到问题并使用您尚未想到的其他身份验证方法进行修复。
如果这是一个拥有较少用户群的内联网(我假设你的评论中只有一个管理员),而是使用Windows身份验证(或者类似,如果不使用Windows)到该网站?
答案 2 :(得分:0)
您是否考虑过要求提供更多信息?
例如,某些网上银行需要您的电子邮件地址,状态帐户已打开,密码,并且您必须验证登录时显示的图片是您在设置此帐户时选择的图片。如果系统无法识别此计算机/ IP地址(通过cookie),您还必须表示允许继续转发。
如果您“忘记了密码”,则必须从随机的安全问题库中回答。
答案 3 :(得分:0)
您可以使用HTTPS并手动分发您的证书,但这有点痛苦。另一个选择是使用“securid token”机制,但是再次......痛苦。