1. Accueil
  2. Question et réponse
  3. Sécurité Au-delà d'un nom d'utilisateur/mot de passe?

Sécurité Au-delà d'un nom d'utilisateur/mot de passe?

2010-10-11 4 views
5

J'ai une application Web qui nécessite une sécurité supérieure à celle d'une application Web normale. Lorsqu'un utilisateur visite le nom de domaine, deux champs de texte, un champ de nom d'utilisateur et un champ de mot de passe lui sont présentés. S'ils entrent un utilisateur/passe valide, ils accèdent à l'application Web. Trucs standard.Sécurité Au-delà d'un nom d'utilisateur/mot de passe?

Cependant, je recherche une sécurité supplémentaire au-delà de cette configuration standard. Idéalement, il s'agirait d'une solution logicielle, mais je suis également ouvert à la solution matérielle (hardware = porte-clés), ou même à des changements de procédure (utilisez un mot de passe sur un mot de passe par exemple).

La webapp est unique en ce que nous connaissons tous nos utilisateurs à l'avance, et nous créons leur nom d'utilisateur et mot de passe et le leur donner. En ce sens, nous pouvons être assurés que le nom d'utilisateur et le mot de passe sont "forts".

Cependant, nos clients ont demandé une sécurité supplémentaire au-delà. Quelqu'un a des idées sur la façon d'ajouter une autre couche de complexité à la sécurité?

Source

2010-10-11 bluedevil2k

Répondre

9

Notre société a utilisé PhoneFactor et nous l'aimons absolument. Nous avons également utilisé Safeword Tokens dans le passé.

Cependant, ce n'est pas le seul jeu du livre. Je commencerais par googler "Two factor authentication"

Le OWASP guide to authentication est un autre bon point de départ. En fait, OWASP est le premier endroit où je chercherais n'importe quelle question de sécurité Web.

Source

2010-10-11 16:52:54 David

+2

+1. Intéressant: pas vu celui-là –

+0

Blizzard fournit un jeton de sécurité optionnel achetable qui fait la même chose http://eu.blizzard.com/support/article.xml?locale=fr_FR&articleId=28152 Une clé unique générée le la mouche par login. – Davy8

0

Il y a beaucoup de différents domaines que les applications Web peuvent avoir leur sécurité amélioré. Avant de commencer, vous devez déterminer quels sont exactement vos problèmes et ce sur quoi vous voulez vous concentrer.

Vous pouvez démarrer ce processus en demandant à un tiers d'effectuer un test de pénétration (test PEN) sur votre application. Cela devrait donner une liste rapide des choses que vous pouvez prendre en charge et, lorsque vous avez une note de passage, quelque chose à utiliser dans votre documentation de vente.

Ensuite, vous voudrez parler à vos clients pour comprendre ce qu'ils entendent par «plus sécurisé». Est-ce simplement l'authentification à deux facteurs comme David et Mitch mentionné ou sont-ils plus préoccupés par des choses telles que les données en mouvement (ARP Poisoning, SSL, etc.), les données au repos (tout depuis le cryptage du disque dur)? l'usurpation d'identité (intersite et relecture), le personnel (vérification en arrière-plan de qui a accès aux machines), etc.

Le concept de sécurité couvre beaucoup de terrain.

Source

2010-10-11 17:11:13 NotMe

Questions connexes

 Questions connexes