注册
登录
云鉴权
ASP.NET网站的最佳/简单硬件安全令牌认证?
返回
ASP.NET网站的最佳/简单硬件安全令牌认证?
作者:
故人
发布时间:
2024-10-14 08:34:12 (2月前)
转自:
<div class =“excerpt”> 我最近被要求提供关于集成安全解决方案的报价,就像大多数在线银行使用的那样,其中有一个安全令牌,其中键/数字随机变化。 门户网站是ASP .... </DIV>
收藏
举报
2 条回复
0#
回复此人
Just do it
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 使用物理令牌执行此操作的最安全方法实际上是使用第三方产品,例如 <a href="http://www.rsa.com/node.aspx?id=1156" rel="nofollow noreferrer"> RSA SecurId </A> 。他们还有一个版本,用于将令牌发送到移动设备,这是他们的“ <a href="http://www.rsa.com/node.aspx?id=3481" rel="nofollow noreferrer"> 按需验证器 </A> “提供。 </p> <P> 否则,如果您想制造自己的系统,那么您需要考虑: </p> <UL> <LI> 令牌的生命周期。 <UL> <LI> 令牌需要多长时间才能激活? </LI> <LI> 如果客户端与服务器位于不同的时区,会发生什么? </LI> </UL> </LI> <LI> 令牌的随机性? <UL> <LI> 您使用什么方法生成令牌? GUID的最后n位数? Psuedo随机数表? secret + userID +随机数,哈希,然后取最后n位数? </LI> <LI> 令牌的有效字符是什么? [0-9] * | [a-zA-Z] * | [0-9A-F] * |等等 </LI> <LI> 令牌的长度是多少? </LI> </UL> </LI> <LI> 令牌在验证之前存储在哪里? </LI> <LI> 用于传输令牌的机制有多安全? <UL> <LI> 通过HTTPS? </LI> <LI> 通过公共短信网络? </LI> </UL> </LI> <LI> 用户如何收到令牌? <UL> <LI> Rabo银行有一个设备,你用一个引脚解锁然后发出代码。 </LI> <LI> 可以让您输入给定令牌的设备,并发出您需要回复的令牌吗? </LI> </UL> </LI> <LI> 如果出现过期令牌会怎样? </LI> <LI> 在锁定设备/访问权限之前,您尝试了多少次尝试? </LI> </UL> <P> 我参与了为银行建立一个系统。它是使用类似于提供的机制实现的 <a href="http://msdn.microsoft.com/en-us/library/cc287610.aspx" rel="nofollow noreferrer"> Microsoft联合网关 </A> 。它可能不是用于登录但它仍然用于身份验证。 </p> </DIV>
编辑
登录
后才能参与评论
