Как обнаружить неправильное использование действительного пароля

Question

Я начинаю оценивать проект, в котором, как мне кажется, потребности в безопасности приближаются к дому.Какие инструменты и методы можно использовать, чтобы попытаться поднять тревогу при использовании действительного имени входа, но владелец имени выдал его или украл.Я бы предпочел ASP.NET, а затем MVC 3, ориентированный материал.

Answer 1

Мой банк (Chase) делает это, проверяя безопасный cookie-файл во время входа в систему с помощью моего имени пользователя / пароля. Если cookie отсутствует или поврежден, им требуется вторая форма аутентификации, которая представляет собой код, отправленный с помощью текста на мой номер телефона в файле или по электронной почте на мой адрес электронной почты в файле. Как только вторая форма аутентификации завершена, они устанавливают безопасный cookie, и тогда я могу войти в систему из этого браузера только с именем пользователя и паролем.

Answer 2

Это не серебряная пуля, но, возможно, вам следует рассмотреть возможность использования какой-либо двухфакторной аутентификации. Например: когда пользователь создает учетную запись с вами, вы требуете, чтобы она предоставила вам номер телефона, по которому он может получать текстовые сообщения в рамках процесса регистрации. Затем, когда она пытается войти в систему, вы отправляете ей временный код аутентификации, который будет использоваться вместе с ее именем пользователя и паролем.

Это дает дополнительный уровень безопасности для системы, потому что злоумышленник должен знать свое имя пользователя и пароль и иметь физический доступ к своему мобильному телефону, чтобы поставить под угрозу свою учетную запись.

Надеюсь, это полезно.

Answer 3

Похоже, вы получите много ложных срабатываний ... но вы можете попробовать проверить, с какого IP-адреса приходит логин. Большинство людей будут входить в систему с одного и того же IP-адреса большую часть времени, поэтому, когда это меняется, это как минимум предупреждающий знак. Если вы хотите быть очень строгими в отношении безопасности, вы можете сохранить белый список (для каждой учетной записи) и потребовать, чтобы они добавили свой IP-адрес в белый список перед входом в систему.

Answer 4

Может быть полезно подумать о факторах процесса аутентификации, чтобы вы могли быть уверены, что вы достаточно освещаете вопросы.Вы можете легко смешиться со слоями гарантий, но я обнаружил, что большинство банков в настоящее время имеют вариации на простую модель.Все это, конечно, по SSL

1. Пользователь отправляет имя учетной записи.Кроме того, вам может потребоваться дополнительная информация, последние 4 номера счета или годовая часть даты рождения.
2. Необязательно, но хорошая идея: предоставьте пользователю встречный знак, который проверяетличность сервера.Пользователь выбирает это при регистрации и должен искать это каждый раз, когда он пытается войти в систему. Это помогает предотвратить фишинг.
3. Система проверяет, связана ли текущая система, использующая поиск IP или cookie, с учетной записью,Если нет, задает контрольный вопрос вместе с вводом пароля.В противном случае представляет только ввод пароля.

Сложно, но на самом деле может быть сделано на 2 страницах и более безопасно, чем обычно требуется.

Я представил этот рабочий процесс несколькимклиенты банка, и они обычно снимают один или два чека для баланса дружелюбия пользователя.

В связи с тем, что телефоны с текстовыми возможностями настолько распространены, идея кода подтверждения SMS, как упоминалось другими, также является хорошей идеей,хотя лично я еще не реализовал это в системе.

Answer 5

Реализуйте свой собственный поставщик членства и добавьте поле, заблокированное для модели, проверьте, не заблокирован ли пользователь при входе в систему, и выполните некоторые действия