올바른 비밀번호의 오용을 감지하는 방법

Question

나는 보안 요구가 집에 더 가깝게 느껴지는 프로젝트를 시작하고 있습니다. 유효한 로그인이 사용되었을 때 경보를 발생 시키려고 시도했지만 로그인 소유자가이를 제공했거나 도난 당했을 때 어떤 도구와 기술을 사용할 수 있습니까? ASP.NET, MVC 3, 지향적 인 것을 선호합니다.

Answer 1

이 글은은 총알이 아니지만 일종의 이중 인증을 고려해야합니다. 예를 들어, 사용자가 귀하와 계좌를 만들 때 등록 프로세스의 일부로 문자 메시지를받을 수있는 전화 번호를 제공해야합니다. 그런 다음 로그인을 시도 할 때 사용자 이름과 비밀번호와 함께 사용할 임시 인증 코드를 입력하십시오.

공격자가 자신의 계정을 손상시키기 위해 자신의 사용자 이름과 암호 인 및이 휴대 전화에 실제로 액세스 할 수 있어야하므로이 보안 계층을 시스템에 추가로 적용합니다.

도움이 되었기를 바랍니다.

Answer 2

많은 긍정적 인 반응을 얻는 것처럼 보일 수 있지만 로그인 IP 주소를 확인해보십시오. 대부분의 사람들은 대부분 동일한 IP 주소에서 로그인하므로 변경되면 적어도 경고 기호입니다. 보안에 매우 엄격한 경우 각 계정에 대해 화이트리스트를 유지하고 로그인하기 전에 IP 주소를 허용 목록에 추가해야합니다.

Answer 3

고유 한 멤버 자격 공급자를 구현하고 모델, 사용자가 로그인 할 때 잠겨 있는지 확인하고 몇 가지 작업을 수행하십시오.

Answer 4

내 은행 (체이스)은 사용자 이름/비밀번호 로그인 중에 보안 쿠키를 확인하여이를 수행합니다. 쿠키가 누락되었거나 손상된 경우 파일의 내 전화 번호로 텍스트를 통해 또는 파일의 전자 메일 주소로 전자 메일을 통해 전송 된 코드 중 하나 인 두 번째 인증 형식이 필요합니다. 두 번째 인증 양식이 완료되면 보안 쿠키를 설정하고 사용자 이름과 비밀번호 만 사용하여 해당 브라우저에서 로그인 할 수 있습니다.

Answer 5

인증 프로세스의 요소를 생각하면 유용 할 수 있으므로 충분히 다루고 있는지 확인할 수 있습니다. 확신의 계층을 쉽게 터득 할 수는 있지만 대부분의 은행은 이제 단순한 모델에 변형이 있음을 발견하게됩니다. 이 모든 것은 물론 SSL을 통한 것입니다.

1. 사용자가 계정 이름을 제출합니다. 또한 계좌 번호의 마지막 4 자리 또는 생년월일 부분의 2 차 정보를 요구할 수 있습니다.
2. 선택 사항이지만 좋은 생각 : 사용자에게 서버의 ID를 확인하는 카운터 기호를 표시하십시오. 사용자는 등록 할 때 이것을 선택하고 로그인을 시도 할 때마다이를 찾아야합니다. 이는 피싱 방지에 도움이됩니다.
3. 시스템은 IP 조회 또는 쿠키를 사용하는 현재 시스템이 계정과 연결되어 있는지 확인합니다. 그렇지 않은 경우 비밀번호 입력과 함께 도전 질문을 표시합니다. 그렇지 않으면 암호 입력 만 표시합니다.

복잡하지만 실제로 필요한 것보다 2 페이지 더 안전 할 수 있습니다.

나는이 워크 플로를 몇몇 은행 고객에게 제공했으며 대개 사용자 친화 성의 균형을 위해 하나 또는 두 개의 수표를 제거합니다.

텍스트 기능이있는 전화기는 다른 사람이 언급 한 것처럼 SMS 인증 코드 아이디어가 좋습니다. 아직 시스템에서이를 구현하지는 않았지만 개인적으로는 좋습니다.