나는 RBS UK 웹 사이트와 유사한 시스템을 모방하려했습니다. 실제로 실험을 위해 보안을 강화했습니다. 그래서 엔트리 페이지에 직원 ID와 보안 문자 메커니즘을 사용하고 사용자가 올바른 직원 ID와 보안 문자를 입력하면 사용자 이름과 암호가 요구됩니다. 그래서 나는 보안상의 관점에서 알고 싶다. Captcha와 함께 Staff ID를 가지고 있으면 어떤 점이 있나? 또는 설명은 사용자를 식별하는 한 가지 더 간단합니다. 나에게 너의 의견을 알려줘.두 가지 요소 인증 메커니즘
혼동? . 그럼 오케이. 어쨌든 고마워요
이것은 하나의 요인, 즉 "아는 사람"이 있기 때문에 two factor authentication이 아닙니다. 당신이 갖고 있지 않은 것은 사람이 가지고있는 것 (예 : RSA 토큰 또는 휴대 전화) 또는 사람이 "있는"것 (예 : 생체 인식 지문 또는 홍채 스캐너)입니다.
당신이 무엇을 합니까 가지고 유용성 악몽이다; 직원 ID + 보안 문자 + 사용자 이름 + 비밀 번호. 당신이 보호하고있는 매우 민감한 것을 제외하고는 (진짜 2 인자 인증을보고 싶다면) 강력한 사용자 이름과 암호 체계를 구현하는 것이 낫습니다.
다른 암호를 효과적으로 추가하더라도 실제로 보안을 크게 늘리지는 않으므로 비공개 부분 임에도 불구하고 암호를 더 길게 만드는 것으로 생각할 수 있습니다. 실제로 보안을 강화하려면 기억해야 할 것이 하나 더 있어야하는 것이 아니라 보안 토큰이나 스마트 카드와 같은 소유권을 추가해야합니다.
보안이 실제로 이중 인증을 요구한다면 분명히 a) 올바르게 수행해야합니다. b) 기존 공급 업체의 보안 토큰을 사용하십시오.
물론 역사적으로 secureID는 주요 공급 업체였으며 토큰은 일반적으로 시간 기반의 의사 난수를 지속적으로 표시합니다. 그러나 다른 것들은 이용 가능하며 그 보안은 공개적으로 비판을 받았다.
그러나 명확한 전략과 아키텍처가 마련되어 있지 않으면이 작업을 수행 할 수 없습니다. 사용자가 조작하지 않거나 필요한 직원을 지원하지 않으면 사용자에게 2 요소 인증을 요구할 수 없으며 일부 인프라 변경이있을 수 있으며 운영 엔지니어는이를 구매할 수 있습니다.
security.stackexchange.com에 속하기 때문에이 질문을 주제와 관련이없는 것으로 보겠습니다. –