2

我最近被要求提供一个关于集成大多数网上银行使用的安全解决方案的报价,其中有一个密钥/数字随机变化的安全令牌。

该门户是一个 ASP.NET 网站,2.0...

我以前没有实现过这种类型的安全认证。任何人都可以提供有关他们使用过的组件/硬件的指导、建议、经验等吗?

谢谢

4

1 回答 1

2

使用物理令牌最安全的方法实际上是使用第三方产品,例如RSA SecurId。他们还有一个用于将令牌发送到移动设备的版本,这是他们“按需验证器”产品的一部分。

否则,如果您想制造自己的系统,那么您需要考虑:

  • 令牌的生命周期。
    • 令牌需要激活多长时间?
    • 如果客户端与服务器处于不同的时区,会发生什么?
  • 令牌的随机性?
    • 您使用什么方法生成令牌?GUID 的最后 n 位数字?伪随机数表?秘密+用户ID+随机数,散列然后取最后n位?
    • 令牌的有效字符是什么?[0-9]* | [a-zA-Z]* | [0-9A-F]* | 等等
    • 令牌的长度是多少?
  • 在验证之前令牌存储在哪里?
  • 用于传输令牌的机制有多安全?
    • 通过 HTTPS?
    • 通过公共短信网络?
  • 用户如何收到令牌?
    • Rabo 银行有一个设备,您可以使用密码解锁,然后发出代码。
    • 可以让您输入给定令牌并发出您需要响应的令牌的设备吗?
  • 如果出示过期的令牌会怎样?
  • 在锁定设备/访问权限之前,您尝试了多少次?

我参与了为一家银行搭建系统的工作。它是使用类似于Microsoft Federation Gateway提供的机制实现的。它可能不是用于登录,但仍用于身份验证。

于 2009-08-03T00:52:52.537 回答