그냥 빨리 안 될 것으로 본다, 매우 구체적인 기술 관련 자료, 오버플로입니다 Stack& 뿐만 아니라, 변화를 위한 공동의 문제를 해결하는 방법에 대한 일반적인 가이드라인이며. 양식 기반 인증 websites" "; 같은 주제에 대해 벌금을 한다는 것이다.
영구 로그인 쿠키 (" 너희에게베풀어진 me"; 기능) 가 danger zone. 이에 따라 기존 로그인을 한 것처럼 완전히 파악할 수 있는 안전한 때, 그들은 어떻게 처리할 것인지. 그리고 다른 한편으로는, 그들은 엄청난 보안 위험을 부주의한 사용자의 손에 사용할 수 있으며, 공용 컴퓨터 및 로그아웃하려면 그들을 잊을 수 있는 브라우저 또는 쿠키는 저들이요 삭제하는 방법을 알지 개인적으로 나는 같은 웹 사이트에 대한 영구 로그인을 정기적으로 방문, 하지만 내가 아는 어떻게 처리할 것인지 안전하게. 같은 양의 경우 이용자들이 알 수 있는 깨끗한 양심을 영구 로그인을 사용할 수 있습니다. 그렇지 않으면 가입할 수 있습니다 - 그럼 철학이 있는 사용자는 그들 위에 그들의 부주의한 로그인시키는 크레덴셜이 재생하느뇨 받을 경우 이 해킹. # 39 의 it& 미끼처럼이 아니라 we go to our user& # 39 의 줄을 서 있는 그 모든 주택 및 손상를 오프하도록 마른 세수 유도하는 포스트-잇 유라유라테이코쿠 비밀번호란 그들은 그들의 up on the edge, 모니터합니다 중 하나. 물론 일부 시스템, , t # 39 can& 여력이 있는 모든 계정 해킹 이러한 시스템, 영구 로그인을 할 수 있는 방법이 없다고 정당화할 수 있습니다.
, T # 39, & # 39, 비밀 questions& Don& 구현하십시오 # 39. # 39, & # 39 는 비밀 questions&. 기능은 보안 안티패턴. 숫자 4 를 읽은 다음 링크에서 http://competition. 나열하십시오 읽을 수 있어야합니다. 이에 대해 한 사라 페일린의 요청할 수 있습니다, 그 뒤 야후! 이메일 계정 해킹 보안 문제에 대한 해답은 때문에 그녀의 이전 대선 과정에서 잡을라는데 않았다. 와실라는 높음입니다 School" ";! 대부분의 사용자가 선택할 때에도 사용자정의된 질문을합니다 가능성이 매우 높다.
첫째, 이 작은 you& # 39, ll 로렌아줌마가 대한 문서를 읽을 수 있는 현실을 확인: [500 가장 일반적인 비밀번호란] [11] 어쩌면 좋아, 그럼 isn& 나열하십시오 # 39 의 정식 , t the 목록니다 가장 일반적인 비밀번호란 판매업체에서 # 39 의 모든 시스템 it& 어디든요 있지만 어떻게 보면 잘 알 수 없을 때 한 사람이 자신의 암호를 배치하십시오 시행 정책을 선택할 것이다. 집에서 가까운 것 뿐만 아니라, 이를 공개적으로 제공되는 분석, 최근 무섭게 나열하십시오 비교할 때 도둑맞았다구 비밀번호란. 그래서: 비밀번호 강도가 요구 사항 없이 최소 2% 의 사용자가 상위 20 개 중 하나를 사용하여 일반적인 비밀번호란. 의미: 만약 공격자가 불과 20, 50 계정임 웹 사이트에서 1 위를 했던 시도_횟수 깰 됩니다. 이를 위해서는 엔트로피가 방해는 비밀번호 적용 계산 후 임계값입니다. 미국 국립표준기술연구소 (NIST) 의 집합 [특수 발행물에 800 63] [12] 는 매우 좋은 제안. 함께 사용하면 사전 및 키보드 레이아웃뿐만 분석 (예를 들어, & # 39 qwertyuiop& # 39;; 거부할 수 있는 것은 나쁜 암호란이), 99% 의 모든 잘못 선택한 비밀번호란 수준으로 18 비트로 보였다. 단순히 비밀번호 강도 및 계산 힘을 보여주는 인텔®visual 미터링하도록 사용자에게 좋은 있지만 부족한. 한 것이 아니라면, 사용자 수가 많은 시행 등을 돌린단 말이뇨 가능성이 크다.
첫째, 투명지에 보면 번호: [암호란이 복구 암호를 언제까지 속도용으로 - 스탠드 업] [16]
그냥 표시됨과 등을 해결하기 위해 노력할 것이라고, & # 39 조절, 더 발전된 괴한들에 의해 로그인하십시오 # 39, 그들의 activities& 있다.
손상될 수 있습니다,,) 은 의해 기록된 크레덴셜을 표시할지를 비밀번호란 아래로, 피싱 사이트에 로그인할 때, 또는 사용자 입력 키가 있는 손실됩니다 laptops 도둑맞았다구 있다. 로그인을 할 수 있는 코드를 사용하는 일회용 아웃오브밴드 기업에서든 금지되었는지 이중 인증 받은 전화, SMS 메시지 등이, app, 또는 동글로. 여러 제공자에서 이중 인증 서비스를 제공합니다. 인증 완전히 교체될 수 있는 sso (single sign on) 서비스, 다른 공급자입니다 핸들을 위임되었습니다 맞추기바인딩 수집 크레덴셜이. 이 문제를 푸시합니다 신뢰할 수 있는 제 3 자. 구글, 트위터, 페이스북 (facebook) 는 유사한 서비스를 동시에 제공하는 표준-기반 sso 모두 독자적인 솔루션.
실용적인 방법을 사용하여 안전하게 보낼 수 있는 유일한 증명방식 100% 는 SSL. Javascript 를 사용하여 암호를 해시라고 금고에도요 않습니다. 특히 일반적인 클라이언트측 대한 암호 해시:
해시 스스로 역시 아니다. 예를 들어, 해시 테이블 동일해집니다 비밀번호란 짓궂군요 동일해집니다 해시 이 효과적인 방법을 통해 한 번에 많은 비밀번호란 조회 나가겠다. , 해시라고 보관하는 것이 좋다. A 는 - 사용 전에 다른 소금 문자열으로 덧붙여집니다 암호란이 해싱 (random) 소금, 사용자당. Salt 는 공용 값을 저장할 수 있도록 함께 해시보다 데이터베이스에. [Here] 참조 (http://www.codeproject.com/Articles/704865/Salted-Password-Hashing-Doing-it-Right) 에 대한 자세한 이. 따라서 사용자가 can& # 39, t 전송하십시오 그들의 잊은 암호 (만 사용할 수 있기 때문에 해시보다). # 39, s, t # 39 don& user& 재설정하십시오 없을 경우 사용자가 암호를 인증되며 (사용자만 사실을 이들은 e 메일을 보낸 것으로 읽을 수 있는 저장 (및 검증됨) 이메일 주소를.)
보안 질문은 저들이요 사용하지 않는 것이다 - 왜? 암호 높여줍니까 크기:, 보안에 대해 질문할 게 낫다. 읽기 PART III: @Jens 롤랜드 오토메이티드 의 비밀 질문을합니다 사용하여 이 wiki 이곳.
사용자가 로그인할 후, 서버에서 report. 사용자 세션 쿠키. 이 서버는 다른 그 누구도 그런 쿠키를 읽어들입니다 sername 또는 id 를 생성할 수 있는 쿠키 (TODO 설명하란말야 메커니즘을). 쿠키 수 있는 납치: 그들은 단지 등 보안 시스템 및 기타 나머지 client& # 39 로, s) 이었다. 그들은 디스켓에서 읽을 수 있지만, 피싱 사이트 간 스크립팅 공격에 의해 크게 스니핑 네트워크 트래픽, DNS 서버를 통해 그들의 과자 중독 때문에 엉뚱한 클라이언트뿐 sends. # 39, t 전송하십시오 don& 영구 쿠키. 쿠키 만료되어야 할 말 클라이언트뿐 세션 (또는 있지만브라우저에 닫으십시오 것가운데 도메인에). 사용자의 오트올로기나 하려면, 쿠키, 하지만 서로 다른 제공하십시오 전체 세션 쿠키 에서 영구 설정할 수 있습니다. 추가로 갖고 있으며, 사용자가 설정할 수 있습니다 플래깅 자동 로깅된 요구사항뿐 로그인하도록 진짜로 중요한 작업을 수행할 수 있습니다. 이것은 완벽한 맞춤화하는 쇼핑 환경을 제공하고자 하는 판매 사이트 인기가 있지만 여전히 금융 정보를 보호할 수 있습니다. 예를 들어, 아마존, 그들은 보여줄 수 있는 페이지를 모양을 돌아가면 dell. you& # 39, re 로그인됨 주문할 수 있지만 갈 때 (또는 선적용 변경하십시오 주소, 신용카드 등), 그들이 그대에게 암호를 확인합니다. 반면, 은행, 신용카드 등 금융 웹 사이트가 있을 수 없는 중요한 데이터를 낮은 보안 모드 또는 자동 로그인을 합니다.
먼저 이 질문에 대한 정확한 질문이예요 강한 경고 적합합니까 이 있는 것은 아니다. 않을 상단형 오토메이티드 말해둘꼐요 합니다!
내아기마저도 박으래도 성서속에 mizilla 제안하는 브로스라이드 (또는 아마도 더 정확하게 말하자면 email 포로토콜) 에서 찾을 수 있는 인증 방식은 앞으로 더 나은 물으리라 업그레이드할 수 있습니다.
나는 요약하십시오 it this way.
엄격하게 "양식 기반 인증 웹 사이트에 대해" 아니다. 현재 양식 기반 인증 (norm) 의 노력으로 전환하는 것이 좀 더 안전한: 브라우저 지원 인증.
한 마디로. 그냥, '와' 를 할 수 있도록 확인할지 form> 삽입하십시오 <, 이 때 빈 emc. 검증중:
<input type="text" name="email" style="display:none" />
이 회사는 이 bot 으로 속일 생각을 하는 것이 요령 필수 필드, 내가 왜 삽입하려면 that& # 39 의 입력 데이터를 하나의 이름을 email" ";). # 39 라고 하고 있는 이메일을 사용하여 you& 필드이므로 이미 있을 경우, 이름,, 뭔가 다른 " 같은 더미 필드이므로 시도해야 합니다 company" " phone"; 또는 " emailaddress";). 그냥 뭔가 강조표시할 걸 알잖나 don& # 39, 그리고 어떤 말은 사람을 찾을 수 있는 논리 칠하려면 t need 뭔가 일반적으로 웹 양식에. Css 와 자바스크립트 / jQuery - 사용하여 입력 필드를 숨김니다 '지금' best - 그냥 , t # 39 있는모든 너회가 부응합니다 don& 입력 '유형' 에 숨겨진 '또는' 설정되었습니다 # 39, 그 외의 봇 won& t fall for it.
검증중 경우 양식 (통칭 클라이언트 / 서버 측) 이 보낸 적이 있는지 확인하기 위해 너회의 더미 필드이므로 접수됨 인류 또는 bot.
예:
이런 human:* 사용자가 볼 수 없는 더미 필드 (내 경우에는 email" release. ";) 그리고 이 칠하려면 시도하지 않습니다. 그래서 더미 필드 값은 여전히 강조할 때는 텅 비어 양식 발송되었습니다.
텍스트 필드 볼 수 있는 경우 그 유형은 '와' 이 bot bot:* 이름 '이메일' (또는 무슨 일이 있어도 너회가 호출됨 it) 과 함께 이 적합한 데이터 칠하려면 논리적으로 시도를 했다. 이 경우, 입력 폼 스타일 t care doesn& # 39 와 일부 웹 개발자 돌림무늬 css, do it all the time. # 39 의 값이 무엇이든 더미 필드는 구하사 don& deltamove it& # 39, s, t care '0' 보다 큰 자입니다.
내가 이 방법을 사용할 수 있는 방명록, 쉐퍼드도 haven& 함께 CAPTCHA # 39, 이후 단일 스팸 게시물을 볼 수 없다. 하지만, 이 사고로 인해 captcha 국한됨 사용한 적도 있어 결국 스팸 게시물을 약 5 매 시간 전에 솔루션이므로. 더미 필드 (적어도 지금까지는) 형태로 추가 스팸 나타나지 않도록 모든 멈췄다.
이 계정으로 사용할 수 있습니다 (i believe / 인증 그냥 그랬다고 양식.
하지만 조금 다를 수도 있습니다 이 up 화면을 통해 볼 수 있지만, 이는 외부의 것가운데 더미 필드이므로 전적으로 있습니다.
창의력을 발휘해 보십시오!
위의 답이 ", wrong" 나는한다 생각하지 않는다. 인증 수축됐는데 않은 부분이 많은 감동을 빛위에 (또는 대답하도다 강조할 켜있을 ", 구현 방법 쿠키 sessions", 어떤 옵션을 사용할 수 있으며, 어떤 것들이 아닌 " trade-offs".
내 제안됩니다 편집 / 대답이
이렇게 하면, 모든 " sessions" 필요가 있다. 브라우저 자체가 다시 암호화 때마다 쿠키를 또는 통신. 이는 가장 " lightweight"; 개발 외곽진입.
하지만 나는 이 서비스를 제외한 가치가 낮은 게 바람직하지 않습니다. 이 문제가 일부 다른 답을 시도해보십시오. - - 이 문제가 해결되지 않는 위에 다시 구현 서버측 인증 메커니즘을 통해 대부분의 주요 브라우저를 사용할 수 있습니다. 쿠키 사용하지 마십시오. 데이터베이스 사용자 정의 태엽 아무것도 저장하지 않습니다. 빌한테나 요청인지 경우, 요청에 따라 인증되며. 다른 건 다 부양해야 한다며 구성 및 타사 신뢰할 수 있는 소프트웨어.
그래서.
첫째, 우리는 혼동을 계정의 생성 초기 암호 (암호로) 를 다시 확인 되었다. 만약 제가 Flickr 로 만들고, 새로운 사용자가 사이트를 처음 액세스하도록 제로 밸류급 (빈 웹 공간). 이 사람은 진실로 내가 신경쓰지 않는 계정을 만들기 거짓말을 하고 있다고 자신의 이름. 만약 제가 계정 생성 이 병원 인트라넷 / 엑스트라넷, 가치 있는 것, 모든 의료 기록, 그래서 계정의 아이디 (*) 에 관심을 가져야 할 작성자여야.
이는 어려운 부분은 아주 괜찮은 솔루션은 웹 전용 신뢰의 있다. 예를 들어, 병원 등 참가하십시오 의사잖아. 웹 페이지를 만들 수 있는 곳에 호스팅된 너회의 여권 사진 공개 키, 그들 모두 해시라고 숫자와 함께 개인 키. 그런 다음 이 병원 방문 및 시스템 관리자가 사용자의 경우 여권 사진 보고 살펴보고 있습니다 / 사진 해시라고 웹 페이지를 통해 구한 후 한 경기 개인 키. 지금부터 키와 토큰을 안전하게 주고받을 수 있습니다. 사람은 병원 (there is the secret 소스 브트와) 신뢰 할 수 있다. 시스템 관리자는 [ui_policytable_java_spe_policy RSA] [2] 또는 기타 이중 인증 동글로 제공하십시오 수도 있습니다.
그러나 이는 a , 는 매우 많은 수고를 아닌 웹 2.0. 그러나 새 계정을 만들 수 있는 유용한 정보를 액세스할 수 있는 유일한 안전한 방법을 자기가 만든 않습니다.
제 3 자 - 기본적으로 사용자가 단일 사인온을 신뢰할 수 있는 메커니즘을 커버로스 SPNEGO 와 함께 제 3 자에 대해 신뢰할 수 있는 서비스다. (NB 아니다 (not to be 트러스트됨 어떤 식으로든 OAuth)
SRP - 신뢰할 수 있는 다양한 종류의 암호 인증 없이 타사. 하지만 여기서 우리는 it& # 39 의 realms) 에 진출하는 ", 이중 인증, s # 39 의 경우에도 사용할 수 있는 안전한 that& costlier".
SSL 열거하십시오 클라이언트가 클라이언트 측 - 공개 키 인증 (지원) 에 대한 의문이 있지만 모든 주요 브라우저 - 클라이언트 컴퓨터 보안).
하지만, 결국 it& s # 39 - 비용을 지정하십시오. 보안 침해 vs 구축 비용이 더 안전한 방식. 그러던 어느 날, 우리는 적절한 공개키기반구조 (pki) 널리 볼 수 있는데, 그래서 더 이상 인증 양식 및 데이터베이스과 İç 출시했다. 어느 날.
[2]: http://en.wikipedia.org/wiki/RSA_% 28security_firm% 29
Md5 해시 알고리즘을 사용할 때, # 39 와 같은 빠른 해시라고 don&, t (많은 하드웨어 구현을 타임코드가). 같은 항목을 사용하여 sha 512. 비밀번호 해시를 위한, 조금씩 더 우수합니다.
더 빨리, 더 빠른 무차별 대입 검사기에서 일할 수 있는 모든 해시 만들 수 있습니다. 따라서 강력한 해시 느린 속도가 느려질 수 밖에. 이로 인해 오랜 기간 동안 강력한 느린 해시라고 발쿰치로 알고리즘입니다 비실용적입니다 비밀번호란 (8 자리 +)
관련 부품 세스 지점 IV: * 암호 기억 기능에 대한 첫 번째 야, 내가 지점임 타이밍 줄 것이라고 말했습니다.
비밀번호 분실 양식, 꼭 이래야겠어요 대한 추가 성공 및 실패 사이의 시간을 갖는 것은 좋은 방법이 비유하 쿼리합니다 지연입니다 함수은.
https://crypto.stanford.edu/ ~ dabo/papers/webtiming.pdf
매우 중요한 주석문입니다 추가하여 싶다. -
, , , 회사 인할지 " intra-* 네트워크없음 설정뿐입니다 ". 대부분의 경우 일부 앞서 적용하십시오 않을 수 있습니다!
많은 기업 내부용 only" 배포하십시오 "; 즉, 기업, 효과적으로, 웹 사이트 " applications". 구현됩니까 url 을 통해 발생하는 것으로 알려졌다. 이러한 url 이 company& 이내에 해결할 수 (아마도.) # 39 의 내부 network." 이벤트여야만 ";; (# 39, & # 39 vpn 접속됨 모두 포함되어 있는 네트워크 마술로 도로 warriors.&;)
이 인증 + authorization" "; 등 여러 가지 기술을 제공하는 서비스가 가능할 ladap (Microsoft 오픈디레스토리) 또는 커버로스.
이 중에서 포인트의보기 알게 됩니다. 누가 누구나 함께 할 수 있는 웹 사이트를 통해 바람 업 emc. 됐다 합니다 [오버클로킹된 환경 변수 마술로 redboot용.] a " token."; ( i.e.* 없는 증표지 즉시인지 근거를 찾을 수 없는 '등' 404 합니다.)
이 말이 안 돼 있지만, , # 39 의 값을 사용하면 token& 너회들 ", 필요할 때, 적절한 고말은 exist" 한다. 웹 사이트를 통해 알 수 있는 사람을 하나님께용서를 " [정식] (ladap. ", etc.) 가봤다네 할 수 있는 모든 질문에 대한 (!) 즉, 모든 작업을 할 수 없는 너 " 되지 못하고, 자체 개발 logic.". 그 대신 너회가 inquire 의 권위와 신뢰를 암시적으로 속한다.
어 허. , a, s # 39 에서 야생 및 울리 internet." " 정신적 스위치였습니다 it& 적지 않다.
사용 OpenID 접속하십시오 또는 사용자 관리 액세스만.
비해 보다 효율적인 선호하지 않는 것처럼 아무 것도 아니네.