我有一個一次性密碼系統爲我的網站使用RFC 4226實施。該密碼通過短信發送到移動設備。用戶只能在自己的移動設備上接收密碼,密碼在15分鐘後過期。鎖定政策和一次性密碼
用戶還具有通常使用的標準字母數字「主密碼」。我實施了3個失敗鎖定工作流程。此鎖定持續15分鐘。
我的問題是從安全的角度來看,只有鎖定「主密碼」纔可以接受?如果他們使用一次性密碼功能,我應該允許用戶圍繞鎖定策略嗎?我是否打開任何類型的安全漏洞?
我有一個一次性密碼系統爲我的網站使用RFC 4226實施。該密碼通過短信發送到移動設備。用戶只能在自己的移動設備上接收密碼,密碼在15分鐘後過期。鎖定政策和一次性密碼
用戶還具有通常使用的標準字母數字「主密碼」。我實施了3個失敗鎖定工作流程。此鎖定持續15分鐘。
我的問題是從安全的角度來看,只有鎖定「主密碼」纔可以接受?如果他們使用一次性密碼功能,我應該允許用戶圍繞鎖定策略嗎?我是否打開任何類型的安全漏洞?
這不完全是你的問題的答案,但是在構建這樣的系統時,你必須記住,每當兩個對接頭都可用時,可用性勝過安全性。您在最終用戶上制定安全策略的難度越大,他們就越有動力提出不安全的解決方法來完成他們的工作。
Schneier said it好於我可以在這裏總結,但我建議閱讀他的東西在那裏。
我瞭解您的觀點安全性與可用性,我爲您提供實施靜態密碼鎖定機制,它已成爲幾乎每個網站的事實上的標準。
大多數密碼鎖定機制 今天都是靜態的,這意味着,他們 出一定數量的 後鎖定用戶:
here解釋真的很好,所以我不需要再次輸入密碼嘗試不正確。這個功能實現了 以防止 對登錄 功能的蠻力嘗試。儘管這個 功能完成了它應有的功能,但它也有它自己的缺點。從一個 安全角度看,這個功能 可以通過一個壞人濫用鎖定 大部分或全部通過編寫 腳本與所有可能的 排列和組合的 用戶名的用戶(其中大多是字母的, 如果不是字母數字),導致 拒絕服務。
從可用性 的角度來看,總有一種 辯論,以嘗試來 數量鎖定用戶 帳戶之前被允許。大多數網站允許3次 嘗試,而一些(很少),允許5 或有時7.
Intellipass試圖彌合安全和此功能的可用性 方面的差距 。通過存儲 用戶的每次登錄嘗試, 智能通行可以智能地 瞭解用戶的過去行爲和 相應的行爲。例如。如果用戶 每次自己鎖出來,然後 Intellipass將動態地增加 嘗試的數目從3到5或從 5至7。另一方面,如果在每一次的第一或第二時間 一個 用戶登錄他或她試圖 過去登陸,但由於某種原因有 採取3次這個時候, Intellipass會自動降低 嘗試的數量從7到5或 5到3 Intellipass的第二個組成部分是隨機發送 驗證碼或在 之間插入一段時間延遲登錄嘗試阻止 自動化中正。
這就是我的鎖定。目前,用戶可以通過向手機發送一次性密碼並使用該密碼登錄,或者通過發出密碼重置來發送256位加密url到他們的電子郵件以便在其內部使用24小時重置密碼。我的問題是,將這些解決方案作爲解決方案的替代方法是否是一種好的做法,在3次失敗嘗試後持續15分鐘。 – Josh 2011-01-13 13:49:41