1. Inicio
  2. Pregunta y respuesta
  3. Seguridad más allá de un nombre de usuario/contraseña?

Seguridad más allá de un nombre de usuario/contraseña?

2010-10-11 15 views
5

Tengo una aplicación web que requiere seguridad más allá de la de una aplicación web normal. Cuando un usuario visita el nombre de dominio, se le presentan dos campos de texto, un campo de nombre de usuario y un campo de contraseña. Si ingresan un usuario/pase válido, obtienen acceso a la aplicación web. Material estándarSeguridad más allá de un nombre de usuario/contraseña?

Sin embargo, estoy buscando seguridad adicional más allá de esta configuración estándar. Lo ideal sería una solución de software, pero también estoy abierto para la solución de hardware (hardware = llaveros), o incluso cambios de procedimiento (por ejemplo, contraseñas de uso único en un panel de contraseñas).

La aplicación web es única, ya que conocemos a todos nuestros usuarios por adelantado, creamos su nombre de usuario y contraseña y se la damos. En este sentido, podemos estar seguros de que el nombre de usuario y la contraseña son "fuertes".

Sin embargo, nuestros clientes han solicitado seguridad adicional más allá de esto. ¿Alguien tiene alguna idea sobre cómo agregar otra capa de complejidad a la seguridad?

Fuente

2010-10-11 bluedevil2k

Respuesta

9

Nuestra empresa usó PhoneFactor y nos encanta.

También hemos usado Safeword Tokens en el pasado.

Sin embargo, no es el único juego en el libro. Comenzaría por buscar en Google "Two factor authentication"

El OWASP guide to authentication es otro buen lugar para comenzar. En realidad, OWASP es el primer lugar en el que buscaría CUALQUIER pregunta de seguridad web.

Fuente

2010-10-11 16:52:54 David

+2

+1. Interesante: no he visto que –

+0

Blizzard proporciona un token de seguridad adquirible opcional que hace lo mismo http://eu.blizzard.com/support/article.xml?locale=en_GB&articleId=28152 Una clave de un solo uso que se genera en la mosca por inicio de sesión. – Davy8

0

Hay un montón de diferentes áreas que las aplicaciones web pueden tener su seguridad mejorada sucesivamente. Antes de comenzar, debe determinar exactamente cuáles son sus áreas problemáticas y en qué debe enfocarse.

Puede iniciar este proceso haciendo que un tercero realice pruebas de penetración (Pruebas de PEN) en su aplicación. Esto debería proporcionarle una lista rápida de cosas de las que puede ocuparse y, cuando tenga una calificación aprobatoria, es algo que debe usar en su literatura de ventas.

A continuación, querrá hablar con sus clientes para comprender lo que significan con "más seguridad". ¿Es simplemente autenticación de dos factores como David y Mitch mencionaron o están más preocupados por cosas como datos en movimiento (envenenamiento por ARP, SSL y similares), datos en reposo (todo desde cifrado de disco duro hasta encriptación de base de datos), autorización, suplantación (cross site y repetición), personal (verificaciones de antecedentes en curso sobre quién tiene acceso a las máquinas), etc.

El concepto de seguridad abarca una gran cantidad de terreno.

Fuente

2010-10-11 17:11:13 NotMe

Cuestiones relacionadas

 Cuestiones relacionadas