这种身份验证方法/方法叫什么?

信息安全 验证 网络钓鱼 网站密钥
2021-09-06 23:33:26

背景:我想在我们的网站上实现类似的东西,我正在寻找建议和可能的 API 来允许它开箱即用,而不是重新发明轮子,但我什至无法找出正确的搜索词.

如我的银行账户所示:

  • 当我注册时,我被要求选择一个我会记住的短语
  • 现在,当我登录我的网站时,过程如下:
    • 我输入我的用户名,然后单击“下一步”。
    • 银行网站向我展示了这句话。 这有助于我确信我实际上是在我的银行网站上,而不是为了窃取我的登录凭据而设置的一些虚假网站。
    • 如果密码匹配,我输入我的密码以完成身份验证过程。
    • 如果密码不匹配,我知道我输入了错误的用户名或者我在网络钓鱼网站上,然后我返回银行的主页并重新开始。

在我看来,这听起来像是“多步骤身份验证”。但是,当我搜索它时,我不断获得多因素身份验证的结果 - 使用令牌进行身份验证,或者由谷歌和其他网站实施的两步身份验证虽然我非常支持使用发送到您的移动设备的令牌或代码进行多因素身份验证,但我也想弄清楚如何做我的银行正在做的事情。

此身份验证模式是否有名称或术语?

2个回答

SiteKey 是许多银行称之为的功能名称,应该可以在该名称下进行搜索。它增加了最小的安全性。您的服务器可以向用户呈现的任何内容,中间的人都可以像客户端一样行事并获得相同的信息。SiteKey(可能是您的银行所说的)不安全,也没有增加有意义的安全性。

它实际上可能是有害的,因为它可能会给用户一种错误的安全感,并使他们忽略其他好的指标,例如 SSL 指标,因为“安全”图像或短语就在那里。我的一般建议是不要使用这种有缺陷的机制,因为它们弊大于利。

它称为基于知识的身份验证,用于对远程服务器进行身份验证。常见的身份验证令牌是文字和图片。

我想说的一点是,仅在获得非机密信息(例如用户名)后才提供身份验证令牌是一个坏主意。攻击者可以通过简单地将用户名放入页面,甚至通过iframe或类似的远程获取机制来针对单个用户相反,最好要求用户提供弱身份验证令牌(例如 4 位密码),然后提供秘密,然后要求提供强身份验证令牌(例如密码)。这使得该机制更加安全。

其它你可能感兴趣的问题
上一篇分区linux最安全的方法? 下一篇密码是否应该在错误消息中显示?