1

私は金融サービス Web アプリケーションを構築しており、私の会社は Facebook 認証を組み込みたいと考えています。私たちは金融の世界にいるので、セキュリティは最優先事項です。統合に facebook PHP SDK を使用していますが、セッションのハイジャックが非常に心配です。大学時代、セッションハイジャックで周りのみんなのがらくたを盗み出していました (これはとても楽しかったです) が、自分のアプリケーションでこれを防ぐ方法を見つけようとしています。

私の会社では、認証プロセスをできるだけ合理化したいと考えているため、2 要素認証のようなものは望ましくありません。しかし、Facebook のログイン後にユーザーに別の情報を入力するよう求めるのが、最も安全な方法のようです。プロセス全体をシンプルかつ迅速に保ちながら、これを保護する他の方法を思い付くことができる賢明な人々がいると思いますか?

4

1 に答える 1

0

別の情報は、P(attacker-has-extra-info | attack-hijacked-session) が低い場合にのみ役立ちます。

複雑な第 2 要素を使用して、最初に対話する (またはセキュリティに配慮した方法で対話する) ときに、接続元のマシンを覚えておいて、その後の訪問で第 2 要素をスキップできる場合、一般的に合理化された対話を得ることができます。 .

デバイスを初めて認証するために、前回の明細書で残高のようなものを要求することは、適切な第 2 要素かもしれません。これは、そのアカウントに関連すると思われる特権を既に知っていることを証明します。

または、アカウントに関連付けられたモバイル デバイスに乱数を含むテキストを送信すると、そのデバイスから接続していないと仮定して、2 番目の要素として機能する可能性があります。

于 2012-05-10T19:47:57.320 に答える