Connexion Insécurité: Adresse IP n'est pas fiable pour authentifier les utilisateurs
Avez-vous déjà essayé de vous connecter à une application Web à partir d'un endroit différent ou un autre ordinateur sur le web dans le monde et été contesté pour authentifier votre identité? Plus que probablement l'hôte compté sur votre adresse IP afin de déterminer votre identité. Chaque fois que je rencontre un défi à mes lettres de créance en tant que résultat de ma localisation (adresse IP), c'est un désagrément qui ne m'a pas fait sentir plus en sécurité.
L'idée d'utiliser les données de la connexion de la machine / est solide, mais une adresse IP n'est pas fiable comme source d'informations pour authentifier votre identité. De plus en plus de sites Web tels que les banques-où le risque à la connexion est extrêmement élevé, comptent sur cette méthode comme une fonction de sécurité pour protéger la page de connexion. Certaines applications SaaS comme Salesforce.com également utiliser cette méthode comme un moyen de confirmer votre identité. Salesforce.com décrit cette fonction de sécurité de cette façon:
«Notre objectif est de minimiser l'impact des caractéristiques de confirmation d'identité en permettant l'utilisation des modèles établis pour continuer incontesté, afin que les utilisateurs qui se connectent à partir d'un appelé, l'adresse IP de confiance ne sont pas affectés. D'exempter les utilisateurs d'avoir à prendre des mesures supplémentaires pour vous connecter, vous pouvez définir une liste de plages d'adresses IP de confiance dans l'application. "
Vu comment il est facile d'usurper une adresse IP, je ne vois aucune des circonstances où une «adresse IP de confiance" peut vraiment faire confiance. Et d'ailleurs la question spoofing, utilisant le protocole IP pour l'authentification n'est pas très pratique pour le travailleur mobile sur un ordinateur portable qui se connecte fréquemment dans une application SaaS tandis que sur la route. D'autre part, une empreinte digitale appareil (bien fait) serait un facteur très fiable pour authentifier une identité et une fois que vous avez établi l'identité de l'appareil, vous pouvez le renvoi à plus de données pour obtenir un profil de risque complet qui vous aide à décider soit de laisser le visiteur du site de, les contester ou de les détourner.
De l'autre côté de la sécurité de connexion, il ya le dilemme de la façon de garder les logins la fois sûr et pratique. Facilité d'utilisation est essentielle, comme expliqué dans cet article en utilisabilité Corporation des sciences de faire de la sécurité Connexion bienvenus . Ils soulignent que «les utilisateurs ne veulent pas« sentir »la complexité des mesures de sécurité en cours d'activation lors de la connexion, ils veulent juste se connecter à tout moment et profiter des transactions sans effort. Si un utilisateur ne peut pas vous connecter, la visite est terminée, ou à tout le moins, coupés courts. "
Deux des grands avantages d'identification du dispositif que comme un facteur d'authentifier un utilisateur sont offre 1) sa transparence; l'authentification a lieu dans une seconde ou deux, sans imposer aucune charge sur le visiteur du site web et 2) l'authentification a lieu en temps réel vous pouvez donc décider instantanément si pour accélérer l'entrée d'un client connu ou d'arrêter le fraudeur de jamais y entrer.
- Tom
