Sicherheit jenseits eines Benutzernamens / Passworts?

5

Ich habe eine Webanwendung, die über die einer normalen Webanwendung hinausgehende Sicherheit erfordert. Wenn ein Benutzer den Domänennamen besucht, werden ihm zwei Textfelder, ein Benutzernamenfeld und ein Kennwortfeld angezeigt. Wenn sie einen gültigen Benutzer / einen gültigen Pass eingeben, erhalten sie Zugriff auf die Webanwendung. Standard Zeug.

Ich suche jedoch nach zusätzlicher Sicherheit, die über diese Standardeinstellung hinausgeht. Idealerweise wäre es eine Softwarelösung, aber ich bin auch offen für Hardwarelösungen (Hardware = Schlüsselanhängern) oder sogar für Verfahrensänderungen (einmalige Verwendung von Passwörtern auf einem Kennwortblock).

Die Web-App ist insofern einzigartig, als wir alle Benutzer im Voraus kennen, und ihren Benutzernamen und ihr Passwort erstellen und ihnen geben. In diesem Sinne können wir sicher sein, dass Benutzername und Passwort "stark" sind.

Unsere Kunden haben jedoch darüber hinaus zusätzliche Sicherheit gefordert. Hat jemand eine Idee, wie die Sicherheit um eine weitere Komplexitätsebene erweitert werden kann?

bluedevil2k
quelle
7
An alle, die für WebApps schließen wollen. Nicht jede Frage, die sich auf WebApps bezieht, muss migriert werden. Einige Fragen, wie diese, sind zu 100% für SuperUser gültig.
BinaryMisfit
@Diago - Ich denke, Sie haben Recht, dass dies nicht wirklich WebApps-Material ist. Ich bin mir aber auch nicht sicher, ob das zu SuperUser gehört. Ich denke, dass Stack Overflow am besten geeignet ist, da er tatsächlich seine eigene Website erstellt.
Joel Coehoorn
@Joel Ich bin in der Versuchung, es zu verschieben, aber aufgrund der fehlenden Sprache usw. nicht überzeugt, und da dies möglicherweise auf Serverebene erfolgen könnte.
BinaryMisfit

Antworten:

10

Aufbauend auf Dan wurde gesagt, dass Sie durch das Hinzufügen von Komplexität keine zusätzliche Sicherheit erhalten. Sie müssen zusätzlich Faktoren der Authentifizierung. Auschecken Zwei-Faktor-Authentifizierung für eine Liste verschiedener Lösungen und eine allgemeine Beschreibung der Praxis. Die Authentifizierung gliedert sich in 3 Hauptkategorien:

  • Etwas haben (Schlüsselanhänger, Smartcard, Handy)
  • Etwas wissen (Passwort, digitales Zertifikat (es ist nur ein wirklich langes Passwort!))
  • Jemand sein (Fingerabdruck, Retina-Druck)

Der allgemeine Konsens ist, dass Sie mindestens brauchen zwei der ersteren, um zuverlässige Sicherheit zu haben. Duplikate sind unbrauchbar (zwei Passwörter sind nicht besser als eins. Zwei Keyfobs sind nicht besser als eins). Sie können ein Kennwort festlegen, aber ein rollender Nummernschlüssel beschränkt die Verwendbarkeit. Sie können jemanden rausschmeißen und einen Fingerabdruck stehlen (yay hollywood movies), aber dann erhalten Sie kein Kennwort.

Beachten Sie, dass es sich bei Keyfobs nicht um ein anderes Gerät im Schlüsselbund des Benutzers handeln muss, sondern lediglich um ein separates Gerät, das sich von ihrem Computer unterscheidet, und sich das Kennwort an einem anderen Ort befindet noch nie gelagert. Smartphones passen normalerweise zu dieser Rechnung, und wenn Sie eine Anwendung entwickeln können, die auf den Smartphones der Benutzer ausgeführt wird, können Sie möglicherweise einige Kosten einsparen. Das hängt davon ab, wie groß die Bereitstellung eines Unternehmens sein muss.

Ebenfalls, für die Liebe irgendeiner Gottheit, die du verehrst Erzwingen Sie keine maximale Kennwortlänge.

Darth Android
quelle
2

Da heutzutage an den meisten Standorten Mobiltelefone mit Internetzugang vorhanden sind,
Es ist sehr sinnvoll, einen Zwei-Faktor-Authentifizierungsmechanismus zu sehen, der das Mobiltelefon als zweiten Punkt verwendet.

Sogar Google ist kürzlich in diesen Kreis eingetreten .

Es gibt Fälle, in denen das Telefon nicht erreichbar ist oder Sie nicht möchten, dass der Kunde die Zeitverzögerung der zweiten Sequenz des mobilen Faktors abwartet.
Hier ist ein Trick, der möglicherweise bereits patentiert und / oder weit verbreitet ist :-)
Ich erinnere mich, in einer Tech-Präsentation ein Schema gesehen zu haben, das einen einmaligen Code verwendet hat, der dem Kunden vorab gesendet wurde. Als sie das für sie verfügbare nutzten, wurde das neue zu ihren Mobiltelefonen geschickt - das vorherige würde verfallen, wenn dieser Versand eintritt. Es war ein sehr einfaches und interessantes Schema.

Es ist wichtig zu wissen, dass Zwei- oder Multi-Faktor-Authentifizierungen die Wichtigkeit eines guten Kennworts, das der Benutzer besser zu schützen lernt, nicht verringert.

Abgesehen davon habe ich gehört, dass Leute ihre Hardware-Finger verlegt haben, die die achtstelligen Authentifizierungssequenzen abhaken, während sie ihre jetzt nicht mehr so ​​kritischen Passwörter offen ließen (oder in ihren Brieftaschen). Mit dem zweiten Faktor können Menschen manchmal falsche Sicherheit in dem Gedanken fühlen, dass sie ihre sprichwörtlichen Eier in verschiedenen Körben ausgebreitet haben.

nik
quelle
Die Einführung von Sicherheitsgurten hat dazu geführt, dass die Menschen rücksichtsloser fahren, was zu einer größeren Anzahl von Unfällen führte ... aber ich würde mich trotzdem dafür einsetzen. Glücklicherweise ist der Anhänger an sich unbrauchbar, die Person, die ihn gefunden hat, müsste wissen, wer Sie sind, wo Sie arbeiten, wie Ihr Benutzername lautet ... und er muss auch auf Ihr schlecht gespeichertes Kennwort stoßen. Alles bevor Sie den Fob als verloren melden. Ihr Punkt ist jedoch immer noch gültig, dass die Leute mit ihren Passwörtern schlampiger werden.
Jarvin
1
@ Dan, ich stimme dem zu. Sicherheit ist eine knifflige Münze. Zwei-Faktor-Authentifizierung ist eine nützliche und wichtige Technik. Der Benutzer muss jedoch alle "Faktoren" gleichermaßen schützen - am wenigsten wird eine Schwachstelle; wie sie den anderen überschätzen. (ps: Ein Anhänger sollte als falsch platziert betrachtet werden, auch wenn er auf dem Schreibtisch des Eigentümers unbewacht bleibt).
nik
1

Abgesehen von der Hardware bedeuten die meisten zusätzlichen Sicherheitsmaßnahmen lediglich, dass die Benutzer zwei Passwörter anstelle von 1 haben sollen. Solange sie über ein sicheres Passwort verfügen, ist dies kein Wert. Es gibt andere spezifische Sicherheitsmaßnahmen für andere Zwecke. Wie bei meiner Bank tippe ich zuerst meinen Benutzernamen ein, und dann erscheint ein Bild, das ich ausgewählt habe, um "zu beweisen", dass ich auf der richtigen Website bin. Dies kann jedoch leicht mit einer unzulässigen Website besiegt werden, die mein Bild von der legalen Website abruft.

Letztendlich glaube ich nicht, dass Sie von der Software aus etwas tun können, um Sicherheit hinzuzufügen (abgesehen von den normalen Verfahren, wie zum Beispiel niemals das Speichern von Klartextkennwörtern, das Verwenden von https usw.).

Das heißt, es gibt viele Möglichkeiten, um den Eindruck der Sicherheit zu erhöhen. Wie in manchen Banken, stellen Sie Ihre Sicherheitsfrage und geben Sie Ihr Passwort ein. Es gibt mehrere Möglichkeiten, durch Software echte Sicherheit hinzuzufügen, beispielsweise die IP-Filterung. Dies ist jedoch für die meisten Webanwendungen nicht praktikabel.

Wie Sie bereits sagten, gibt es verschiedene Hardwarelösungen wie Schlüsselanhänger. Wenn Sie eine echte zusätzliche Sicherheitsebene hinzufügen möchten, ist dies meiner Meinung nach die beste Option.

Jarvin
quelle
1

Es gibt auch eine Zwei-Faktor-Authentifizierung, wobei der zweite Faktor "TAN-Tabelle" (Transaktionsauthentifizierungsnummerntabelle) ist. Betrachten Sie es als extrem Low-Tech-Variante digitaler TAN-Token oder als Low-Tech-Variante des Handys als zweiten Faktor.

Es ist so etwas wie ein Kreuzworträtsel - Sie kombinieren den Code für den zweiten Faktor mit einer Kombination aus der Suche in einer Tabelle anhand von horizontalen und vertikalen Herausforderungsnummern. :-) Eine kroatische Bank (Erste & Steiermarkische) verwendet das, andere hier verwenden Smartcards und Token-Authentifizierung (nicht als 2., sondern als einziger Faktor).

Vedran Krivokuća
quelle
Warten Sie eine Sekunde, kroatische Banken verwenden keine PINs mit Smartcards?
AndrejaKo
Tun sie. Entschuldigung für das Missverständnis. Sie verwenden keine Kombitoken + Smartcard, sondern jeweils einen separaten Mechanismus. Token werden meistens für "Zivilbanken" (für Bürger, Personen) und Chipkarten mit PINs verwendet, meist für Unternehmen. Und manchmal entgegengesetzt und manchmal beides. Erste unterscheidet sich jedoch, sie verwenden ausschließlich TAN-Tabelle.
Vedran Krivokuća
0

ich fand PhoneFactor vor einiger Zeit, aber es kann nur für Kunden in einer begrenzten Anzahl von Ländern verwendet werden.

Ignacio Vazquez-Abrams
quelle
0

Das klingt so, als hätten Sie Geschäftskunden, die sich immer hinter einem Unternehmensnetzwerk verbinden ... einem Netzwerk, das wahrscheinlich eine statische IP-Adresse hat. Daher können Sie die Kombination aus Benutzername und Kennwort zusätzlich einschränken, damit sie nur funktioniert, wenn Sie von dieser IP-Adresse aus versuchen. Das hindert niemanden im Unternehmen daran, Zugang zu erhalten, aber es würde einen zufälligen Joe im Internet stoppen, der möglicherweise ein Kennwort findet.

Was auch immer Sie tun, mein üblicher Rat für diese Situation ist, ihn nicht selbst umzusetzen. Sicherheitssysteme sind unglaublich einfach zu implementieren falsch , so dass sie alle Ihre Tests bestehen und Sie nicht einmal wissen, dass irgendetwas nicht stimmt, bis sechs Monate, nachdem Sie gehackt wurden Überlassen Sie dies einem Unternehmen, das diese Art von System als Hauptprodukt aufbaut. Mit anderen Worten: Sie befinden sich in einer Situation, in der Sie kaufen, nicht bauen.

Joel Coehoorn
quelle