1

我正在构建一个金融服务 Web 应用程序,我的公司希望将 facebook 身份验证合并到其中。因为我们身处金融界,所以安全至关重要。我正在使用 facebook PHP SDK 进行集成,但我真的很担心会话劫持。在我的大学时代,我会从我周围的每个人那里劫持废话(这很有趣),但我正试图找到一种方法来防止我的应用程序出现这种情况。

我的公司希望尽可能简化身份验证过程,这意味着不希望使用两因素身份验证。但是在 facebook 登录后提示用户输入另一条信息似乎是最安全的方式。我想知道你们中是否有任何聪明的人可以想出其他方法来确保这一点,同时保持整个过程简单快捷?

4

1 回答 1

0

另一条信息仅在 P(attacker-has-extra-info | Attacker-hijacked-session) 较低时才有用。

如果您可以在他们第一次与您交互(或以安全敏感的方式进行交互)时使用复杂的第二个因素,然后记住他们连接的机器以在后续访问中跳过第二个因素,那么您通常可以获得简化的交互.

在第一次对设备进行身份验证时,要求他们在最后一条语句中的余额之类的东西可能是一个很好的第二个因素——这将证明他们已经知道可能与该帐户相关的特权。

或者,假设他们没有从该设备连接,向与该帐户关联的移动设备发送带有随机数的文本可以作为第二个因素。

于 2012-05-10T19:47:57.320 回答