鎖定政策和一次性密碼

Question

我有一個一次性密碼系統爲我的網站使用RFC 4226實施。該密碼通過短信發送到移動設備。用戶只能在自己的移動設備上接收密碼，密碼在15分鐘後過期。

用戶還具有通常使用的標準字母數字「主密碼」。我實施了3個失敗鎖定工作流程。此鎖定持續15分鐘。

我的問題是從安全的角度來看，只有鎖定「主密碼」纔可以接受？如果他們使用一次性密碼功能，我應該允許用戶圍繞鎖定策略嗎？我是否打開任何類型的安全漏洞？

Answer 1

這不完全是你的問題的答案，但是在構建這樣的系統時，你必須記住，每當兩個對接頭都可用時，可用性勝過安全性。您在最終用戶上制定安全策略的難度越大，他們就越有動力提出不安全的解決方法來完成他們的工作。

Schneier said it好於我可以在這裏總結，但我建議閱讀他的東西在那裏。

Answer 2

我瞭解您的觀點安全性與可用性，我爲您提供實施靜態密碼鎖定機制，它已成爲幾乎每個網站的事實上的標準。

大多數密碼鎖定機制 今天都是靜態的，這意味着，他們 出一定數量的 後鎖定用戶：

here解釋真的很好，所以我不需要再次輸入密碼嘗試不正確。這個功能實現了 以防止 對登錄 功能的蠻力嘗試。儘管這個 功能完成了它應有的功能，但它也有它自己的缺點。從一個 安全角度看，這個功能 可以通過一個壞人濫用鎖定 大部分或全部通過編寫 腳本與所有可能的 排列和組合的 用戶名的用戶（其中​​大多是字母的， 如果不是字母數字），導致 拒絕服務。

從可用性 的角度來看，總有一種 辯論，以嘗試來 數量鎖定用戶 帳戶之前被允許。大多數網站允許3次 嘗試，而一些（很少），允許5 或有時7.

Intellipass試圖彌合安全和此功能的可用性 方面的差距 。通過存儲 用戶的每次登錄嘗試， 智能通行可以智能地 瞭解用戶的過去行爲和 相應的行爲。例如。如果用戶 每次自己鎖出來，然後 Intellipass將動態地增加 嘗試的數目從3到5或從 5至7。另一方面，如果在每一次的第一或第二時間 一個 用戶登錄他或她試圖 過去登陸，但由於某種原因有 採取3次這個時候， Intellipass會自動降低 嘗試的數量從7到5或 5到3 Intellipass的第二個組成部分是隨機發送 驗證碼或在 之間插入一段時間延遲登錄嘗試阻止 自動化中正。