Лучшая / простая аппаратная аутентификация с помощью токенов безопасности для сайтов ASP.NET?

Question

Недавно меня попросили предоставить расценку на интеграцию решения по обеспечению безопасности, которое используется большинством онлайн-банков, где есть токен безопасности, ключ / число которого меняются случайным образом.

Портал является веб-сайтом ASP.NET, 2.0 ...

Я не реализовывал этот тип аутентификации безопасности раньше. Может ли кто-нибудь предоставить руководство, предложения, опыт и т. Д. О компонентах / оборудовании, с которыми он работал?

Спасибо

Answer 1

Наиболее безопасный способ сделать это с помощью физического токена - это использовать сторонний продукт, такой как RSA SecurId . У них также есть версия для отправки токена на мобильное устройство, которое является частью их предложения " Аутентификаторы по требованию ".

В противном случае, если вы хотите изготовить собственную систему, вам необходимо учитывать:

• Срок действия токена.
  • В течение какого времени токен должен быть активным?
  • Что произойдет, если клиент находится в другом часовом поясе, чем сервер?
• Случайность токена?
  • Какой метод вы используете для генерации токена? Последние цифры GUID? Psuedo Таблица случайных чисел? секрет + идентификатор пользователя + случайное число, хэшируются, а затем принимают последние n цифр?
  • Какие допустимые символы для токена? [0-9] * | [a-zA-Z] * | [0-9A-F] * | и т.д.
  • Какова длина токена?
• Где хранится токен до его проверки?
• Насколько безопасен механизм, используемый для передачи токена?
  • По HTTPS?
  • По общедоступной сети SMS?
• Как пользователь получает токен?
  • В банке Rabo есть устройство, которое вы разблокируете с помощью булавки, после чего выдается код.
  • Может ли быть устройство, на которое вы вводите данный токен, и оно выдает токен, с которым нужно ответить?
• Что произойдет, если будет выдан токен с истекшим сроком?
• Сколько попыток вы им дадите, прежде чем заблокировать устройство / доступ?

Я занимался созданием системы для банка. Он был реализован с использованием механизма, аналогичного механизму Microsoft Federation Gateway . Возможно, это был не вход в систему, но он все еще использовался для аутентификации.