身份認證設(shè)計的基本準則

身份認證設(shè)計的基本準則

密碼長度和復(fù)雜性策略

密碼認證作為當前最流行的身份驗證方式，在安全方面最值得考慮的因素就是密碼的長度。一個強度高的密碼使得人工猜測或者暴力破解密碼的難度增加。下面定義了高強度密碼的一些特性。

（1）密碼長度

對于重要的應(yīng)用，密碼長度最少為6；對于關(guān)鍵的應(yīng)用，密碼長度最少為8；對于那些最關(guān)鍵的應(yīng)用，應(yīng)該考慮多因子認證系統(tǒng)。

（2）密碼的復(fù)雜度

有的時候僅有長度約束是不夠的，比如說12345678、11111111這樣的密碼，長度的確是8位，但極容易被猜測和字典***，所以這時候就需要增加密碼復(fù)雜度。下面列舉了一些提供復(fù)雜度的策略。

—至少一個大寫字母（A～Z）。

—至少一個小寫字母（a～z）。

—至少一個數(shù)字（0～9）。

—至少一個特殊字符（!@#$%^&等）。

—定義最少密碼長度（如8個字符）。

—定義最長密碼長度（如16個字符）。

—不能出現(xiàn)連續(xù)的字符（如123、abc、def）。

—不能出現(xiàn)連續(xù)相同的字符（如1111）。

一旦我們定義好了這些策略，在用戶注冊時就可以強制用戶輸入高強度的密碼，從而提高密碼的安全性。

實現(xiàn)一個安全的密碼恢復(fù)策略

上一節(jié)介紹了密碼的長度和復(fù)雜度，有時，太復(fù)雜的密碼自己都給忘記了，該怎么辦？所以一般來說，一個應(yīng)用會提供密碼恢復(fù)功能。鑒于大部分應(yīng)用都提供了電子郵箱這具有唯一性字段的恢復(fù)方式，所以可見最常見的方式就是讓用戶輸入電子郵箱，輸入電子郵箱后，一般會有以下兩種解決方法。

（1）把原來的密碼發(fā)送到用戶信箱中去。

我個人的意見是，如果這樣做，說明這個應(yīng)用可以得知你的密碼明文，這與系統(tǒng)只存hash/加密值的單項策略相違背，若哪一天這個程序的數(shù)據(jù)庫被攻克，所有的明文就會被很容易地得知，所以這種方式還是不值得提倡。

（2）重設(shè)一個臨時密碼，用戶用這個密碼登錄然后修改密碼。

這是一個相對較好的方法，通常為了增加安全性，我們還可以給這個臨時密碼一個有效期，如用戶必須24小時內(nèi)使用這個密碼登錄等。

上面的密碼恢復(fù)策略是基于一個事實的，就是你的電子郵箱應(yīng)該足夠安全（沒有人知道你的郵箱密碼）。但是如果這個應(yīng)用具有CSRF漏洞，即電子郵件可能被修改成一個***者的郵箱而受害者卻毫無所知，這時候如果進行密碼恢復(fù)就會把密碼發(fā)到***者的信箱里，那么該怎么辦呢？

答案是更新重要字段時需要重新認證。比如用戶的密碼、電子郵件等，如果用戶需要更新，則彈出一個對話框讓用戶輸入原先的密碼，這樣就可以有效地防止CSRF***。

重要的操作應(yīng)通過HTTPS傳輸

對于重要的操作，如登錄、修改密碼等，一定要通過HTTPS進行傳輸。我們就以Tomcat為例，說明一下如何進行配置，使得指定的URL必須走HTTPS。

首先是產(chǎn)生一個證書。為了說明方便，我們采用Java提供的keytool產(chǎn)生一個自認證證書，命令如下：%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA。然后回答一些問題，這里注意設(shè)置證書庫的密碼和key的密碼，我們這里設(shè)置為changeit，這樣就會產(chǎn)生一個證書庫，如圖10-22所示。

圖10-22 用Java生成一個證書庫

然后在把產(chǎn)生的.keystore復(fù)制到{TOMCAT_HOME}\conf目錄下，配置server.xml如下：

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"

port="8443" SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS"

keystoreFile="${user.home}/.keystore" keystorePass="changeit" />

— 最后我們再配置APP應(yīng)用下的WEB-INF\web.xml如下：

<security-constraint>

<web-resource-collection>

<web-resource-name>must https</web-resource-name>

<url-pattern>/login.jsp</url-pattern>➊

</web-resource-collection>

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

➊ 設(shè)置哪些URL 需要走HTTPS。

認證錯誤信息以及賬戶鎖定

下面是一些不正確的認證錯誤信息：

—登錄失敗，用戶Kevin的密碼錯誤。

—登錄失敗，無效的用戶名。

—登錄失敗，該用戶已被禁用。

—登錄失敗，該用戶沒有被激活。

正確的表達方式應(yīng)該是唯一的一種：

—登錄失敗，用戶名或密碼錯誤。

不正確的認證錯誤信息可能會導(dǎo)致字典***或者暴力破解，所以我們要盡可能地給出一個很普遍的錯誤信息。

此外為了防止暴力***，我們可以設(shè)定下列規(guī)則：

—第一次登錄失敗，下一次登錄至少間隔5s。

—第二次登錄失敗，下一次登錄至少間隔15s。

—第三次登錄失敗，下一次登錄至少間隔45s。

—第四次登錄失敗，集成圖形驗證碼CAPTCHA，讓用戶輸入圖片中的字符串。

如果有足夠明顯的證據(jù)顯示是暴力破解（如每分鐘進行了100次嘗試），IP地址或者Session ID應(yīng)該在接下來一段時間（如15分鐘）被阻止，在這種情況下，我們應(yīng)該給出清楚明白的錯誤信息，說明為什么這個登錄會失敗。

本文節(jié)選自《Web應(yīng)用安全威脅與防治——基于OWASP Top 10與ESAPI》

身份認證設(shè)計的基本準則

西寧網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)公司,西寧網(wǎng)站設(shè)計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為西寧上千提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)營銷網(wǎng)站建設(shè)要多少錢，請找那個售后服務(wù)好的西寧做網(wǎng)站的公司定做！

王文君李建蒙編著

電子工業(yè)出版社出版

新聞標題：身份認證設(shè)計的基本準則
網(wǎng)頁路徑：http://aaarwkj.com/article42/jeechc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、手機網(wǎng)站建設(shè)、ChatGPT、網(wǎng)站排名、小程序開發(fā)、自適應(yīng)網(wǎng)站

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

身份認證設(shè)計的基本準則