Anmelden Unsicherheit: IP-Adresse kann man nicht trauen, um Benutzer zu authentifizieren werden
Haben Sie jemals versucht, eine Web-Anwendung von einem anderen Ort oder einem anderen Computer im World Wide Web und in Frage gestellt worden, um Ihre Identität zu authentifizieren anmelden? Mehr als wahrscheinlich, der Host, auf Ihre IP-Adresse verlassen, um Ihre Identität festzustellen. Immer wenn ich eine Herausforderung für meine Glaubwürdigkeit als Ergebnis meiner (IP-Adresse) Begegnung ist es ein Ärgernis, die keinen fühle ich mich nicht mehr zu sichern.
Die Idee der Verwendung von Daten aus der Maschine / Verbindung wird der Ton, sondern eine IP-Adresse ist nicht zuverlässig, wie eine Quelle von Informationen, um Ihre Identität zu authentifizieren. Immer mehr Websites wie Banken, wo das Risiko bei der Anmeldung ist extrem auf diese Methode als ein Sicherheits-Feature, um die Login-Seite schützen hoher verlassen. Einige SaaS-Anwendungen wie Salesforce.com auch diese Methode als eine Möglichkeit, um Ihre Identität zu bestätigen. Salesforce.com beschreibt dieses Sicherheits-Feature auf diese Weise:
"Unser Ziel ist es, die Auswirkungen des Identity Confirmation Funktionen, indem sie etablierte Muster der Nutzung weiterhin unangefochten, so dass Benutzer, die in einer bekannten, vertrauenswürdigen IP-Adresse Protokoll nicht betroffen sind zu minimieren. Um befreit Ihre Benutzer mit zusätzlichen Maßnahmen zu ergreifen, um sich einzuloggen, können Sie eine Liste der vertrauenswürdigen IP-Bereiche in der Anwendung. "
Bedenkt man, wie einfach es ist, eine IP-Adresse ich nicht sehe keinen Umständen, wenn eine "vertrauenswürdige IP-Adresse" wirklich trauen kann spoof ist. Und neben dem Spoofing-Problem, mit Hilfe von IP für die Authentifizierung ist nicht sehr praktisch für den mobilen Arbeitnehmer auf einem Laptop, die häufig meldet sich bei einem SaaS-Anwendung, während auf der Straße. Auf der anderen Seite würde ein Gerät Fingerabdruck (richtig gemacht) machen eine höchst zuverlässige Faktor für die Identität und Authentifizierung, sobald Sie das Gerät Identität hergestellt wurde, können mit Querverweisen es, mehr Daten zu einer vollständigen Risiko-Profil, dass Sie entscheiden, hilft sich ob die Website-Besucher eingelassen, fordern sie heraus, oder schalten Sie sie weg.
Auf der anderen Seite des Login-Sicherheit gibt es das Dilemma, wie man Logins sicher und bequem zu halten. Benutzerfreundlichkeit ist entscheidend, wie in diesem Artikel von Usability Sciences Corporation machen Login-Sicherheit Freundlich . Sie weisen darauf hin, dass "Anwender wollen nicht zu" fühlen "die Komplexität der Sicherheits-Maßnahmen bei der Anmeldung aktiviert, sie wollen einfach nur jederzeit anmelden und genießen Sie müheloses Transaktionen. Wenn ein Benutzer nicht anmelden kann, ist der Besuch vorbei, oder zumindest, kurz geschnitten. "
Zwei der großen Vorteile, die Geräte-Identifikation als ein Faktor, um einen Benutzer zu authentifizieren bietet sind: 1) die Transparenz, die Authentifizierung erfolgt in einer oder zwei Sekunden, ohne dabei eine Belastung für die Website-Besucher und 2) die Authentifizierung erfolgt in Echtzeit so können Sie sofort entscheiden, ob die Einreise eines bekannten Kunden zu beschleunigen oder zu stoppen Betrüger aus immer gewinnen Eintrag.
- Tom
