-1
我試圖模仿一個類似於RBS英國網站的系統。我實際上增加了一個實驗的安全性。所以我在入口頁面使用了工作人員ID和驗證碼機制,一旦用戶輸入了正確的工作人員ID和驗證碼,就會要求用戶名和密碼。所以我想知道一個安全的角度..有工作人員的身份證和Captcha一起是否有任何意義?或者解釋很簡單,只需要一件事來識別用戶。讓我知道你的意見。雙因素認證機制
困惑?那好吧。無論如何感謝你
Q
雙因素認證機制
A
回答
6
這不是two factor authentication,因爲你只有一個因素 - 這個人「知道」的東西。你沒有的是這個人「擁有」的東西(如RSA令牌或移動電話),或者這個人「是」的東西(如生物指紋或虹膜掃描器)。
你做什麼有一個可用性的噩夢;員工ID + CAPTCHA +用戶名+密碼。除非您保護的是超級敏感的東西(在這種情況下,您需要查看真正的雙因素身份驗證),否則最好先實施強大的用戶名和密碼方案。
0
雖然您實際上增加了另一個密碼,但您並未真正提高安全性,因此您可以將其視爲使密碼更長,儘管是非祕密部分。要真正提高安全性,你應該添加他們必須擁有的東西,比如安全令牌或智能卡,而不是要記住更多的事情。
0
如果您的安全真的需要雙因素身份驗證,您應該明確a)正確執行b)使用現有供應商的安全令牌產品。
當然歷史上secureID一直是主要的供應商,它的標記通常顯示不斷變化的基於時間的僞隨機數。然而,其他可用的,其安全性已被公開批評。
但是如果沒有明確的策略和體系結構,你就無法做到這一點。如果沒有運營或支持人員要求,您不能堅持雙因素認證,這可能會涉及一些基礎設施更改,您的運營工程師也會購買。
相關問題
- 1. Heroku雙因素認證多設備?
- 2. 雙因素認證如何與隨機數一起工作?
- 3. VSO - 2因素認證
- 4. 認證機制
- 5. 如何使用PHP創建谷歌雙因素認證?
- 6. 更改雙因素認證休息的Heroku的API調用
- 7. Keyrock啓用雙因素身份驗證
- 8. Twilio SMs雙因素身份驗證
- 9. Identity Server 3雙因素身份驗證
- 10. Node.js雙因素身份驗證
- 11. 繞過Google雙因素身份驗證
- 12. Microsoft outlook的雙因素身份驗證
- 13. 定製plone登錄進行雙因素驗證
- 14. 在Dovecot編輯password_query 2因素認證
- 15. 傳播認證協議,支持多因素認證
- 16. 使用數字證書進行雙因素身份驗證
- 17. TLS雙向認證
- 18. 雙因素柱狀圖中
- 19. 雙因素身份驗證不包含定義GetEmailConfirmationTokenAsync
- 20. 使用雙因素身份驗證的Bitbucket API
- 21. 使用SHIRO的雙因素身份驗證
- 22. 無法配置UserCookie爲雙因素身份驗證
- 23. 如何使用ASP.net Identity 2.0設置雙因素身份驗證?
- 24. WCF中的自定義雙因素身份驗證
- 25. Azure cmdlet - 使用雙因素身份驗證時會話無效
- 26. 使用雙因素身份驗證的SVN
- 27. 在Google Cloud Plaform中啓用雙因素驗證
- 28. 使用Google雙因素驗證與mu4e和Gmail時出錯
- 29. GCE上的雙因素身份驗證以防止刪除
- 30. 的Sharepoint雙認證WCF
我投票結束這個問題作爲離題,因爲它屬於security.stackexchange.com –