私は最近、キー/番号がランダムに変化するセキュリティ トークンがある、ほとんどのオンライン バンクが使用するようなセキュリティ ソリューションの統合に関する見積もりを提供するよう求められました。
ポータルは ASP.NET Web サイト、2.0...
このタイプのセキュリティ認証を実装したことはありません。使用したコンポーネント/ハードウェアについて、ガイダンス、提案、経験などを提供できる人はいますか?
ありがとう
1719 次
1 に答える
2
物理トークンでこれを行う最も安全な方法は、実際にはRSA SecurIdなどのサードパーティ製品を使用することです。また、トークンをモバイル デバイスに送信するためのバージョンもあり、これは「オンデマンド認証システム」の一部です。
それ以外の場合は、独自のシステムを製造する場合は、次のことを考慮する必要があります。
- トークンの有効期間。
- トークンがアクティブである必要がある期間はどれくらいですか?
- クライアントがサーバーと異なるタイムゾーンにある場合はどうなりますか?
- トークンのランダム性?
- トークンを生成するためにどのような方法を使用していますか? GUID の最後の n 桁? 疑似乱数表? シークレット + ユーザー ID + 乱数をハッシュして、最後の n 桁を取得しますか?
- トークンの有効な文字は何ですか? [0-9]* | [a-zA-Z]* | [0-9A-F]* | 等
- トークンの長さは?
- 検証前のトークンはどこに保存されますか?
- トークンの転送に使用されるメカニズムはどの程度安全ですか?
- HTTPS経由ですか?
- パブリック SMS ネットワーク経由ですか?
- ユーザーはどのようにトークンを受け取りますか?
- ラボ銀行には、ピンでロックを解除するとコードが発行されるデバイスがあります。
- 指定されたトークンを入力すると、応答する必要があるトークンを発行するデバイスを使用できますか?
- 期限切れのトークンが提示された場合はどうなりますか?
- デバイス/アクセスをロックする前に、何回試行しますか?
銀行のシステム構築に携わりました。これは、 Microsoft フェデレーション ゲートウェイが提供するものと同様のメカニズムを使用して実装されました。ログイン用ではなかった可能性がありますが、認証にはまだ使用されていました。
于 2009-08-03T00:52:52.537 に答える