RFC 4226을 사용하여 웹 사이트 용 일회용 비밀번호 시스템을 구현했습니다. 이 암호는 SMS를 통해 모바일 장치로 전송됩니다. 사용자는 자신의 모바일 장치에서만 암호를받을 수 있으며 암호는 15 분 후에 만료됩니다.잠금 정책 및 일회용 비밀번호
사용자는 또한 일반적으로 사용되는 표준 영숫자 "마스터 암호"를 사용합니다. 3 실패 잠금 워크 플로우를 구현했습니다. 이 잠금은 15 분 동안 지속됩니다.
제 질문은 보안 입장에서 볼 때 "마스터 비밀번호"만 잠글 수 있습니까? 일회용 암호 기능을 사용하는 경우 사용자에게 잠금 정책을 허용해야합니까? 어떤 종류의 보안 구멍을 열 었는가?
귀하의 질문에 대한 답변이 정확하지는 않지만 이와 같은 시스템을 구축 할 때 유용성은 두 번 맞출 때마다 보안보다 우선합니다. 최종 사용자에 대한 보안 정책을 수립하는 것이 어려워 질수록 안전하지 않은 해결 방법이 생겨 더 많은 일을 처리하게 될 것입니다.
Schneier said it 내가 여기서 요약 할 수있는 것보다 더 낫다. 나는 그의 물건을 거기에서 읽는 것이 좋습니다.
당신의 관점 보안과 유용성을 이해합니다. 정적 암호 잠금 메커니즘을 구현할 것을 제안합니다. 이것은 거의 모든 웹 사이트의 사실상 표준이되었습니다. 그들은 특정 번호 의 후에 사용자를 의미하는 정적 잠금 된다
암호 잠금 메커니즘의 대부분 오늘 :
는 정말 잘 내가 다시 입력 할 필요가 없습니다 설명 잘못된 암호 시도. 이 기능은 로그인 기능에 대한 무차별 시도 시도를 막기 위해 구현되었습니다. 이 기능은 예상 한대로 작동하지만 에도 자체 단점이 있습니다. 보기의 보안의 관점에서,이 기능 가 을 잠그는 나쁜 사람에 의해 악용 될 수있는 대부분의 또는 주로 알파벳됩니다 사용자 이름에 대한 모든 가능한 순열과 조합과 스크립트를 작성하여 사용자 (모든, 영숫자가 아닌 경우 ) 서비스 거부이 발생합니다. 보기의 유용성 관점에서는 항상 사용자 계정 잠금 전에 허용 에 시도의 수와 같은 논쟁이있다. 대부분의 웹 사이트는 3 개 시도 약간 (아주 약간) 동안은 Intellipass이 시도 5 또는 때때로 7.
보안이 기능의 유용성 측면 사이의 간격 를 해소 할 수 있습니다. 사용자의 로그인 시도마다 을 저장함으로써 Intellipass는 지능적으로 사용자의 과거 행동을 이해할 수 있으며 그에 따라 이 작동합니다. 예를 들어.사용자 때마다 자신을 잠그는 경우, Intellipass 동적으로, 다른 한편 7. 5에서 5 3에서 에게 시도 횟수를 증가 할 경우 첫 번째 또는 두 번째 마다의 사용자가 로그인 그 또는 그녀는 과거 에 로그인을 시도했지만 가 3 회이 시간 촬영이 어떤 이유로, Intellipass가 자동으로 5 7에서 에게 시도 횟수를 줄일 수 또는 5 3. Intellipass의 두 번째 구성 요소는 무작위로 던지기 captcha 또는 사이의 시간 지연을 삽입하면 로그인 시도가 방지되도록 자동 atta cks.
그건 내 잠금에 대한 것입니다. 현재 사용자는 전화기에 일회용 암호를 보내고 로그인 할 때 또는 암호 재설정을 실행하여 잠금을 우회 할 수 있습니다. 암호 재설정을 사용하면 256 비트 암호화 된 URL을 전자 메일로 보내서 사용할 수 있습니다. 24 시간 동안 비밀번호를 재설정하십시오. 내 질문은 3 분의 실패한 시도 후 15 분 동안 지속되는 잠금에 대한 해결 방법으로 이러한 조치를 취하는 것이 좋습니다. – Josh
@ Josh, 나는 15 분 잠금을 본 적이 없다. 3 번의 로그인 실패 후, 시스템은 귀하의 신원을 확인하고 전화를 요구하여 새로운 비밀번호를 얻습니다. 하나의 암호 만료 시간은 일반적으로 3 분입니다. – berkay