登录不安全:IP地址不能被信任的用户进行身份验证
你曾经试图从不同的位置或不同的计算机上的全球网络,并受到了挑战,以验证您的身份登录到Web应用程序? 更可能依靠您的IP地址的主机,以确定您的身份。 每当我遇到我的位置(IP地址)作为我的凭据的挑战,这是一个烦恼,并不让我感到更加安全。
从机/连接使用数据的想法是合理的,但一个IP地址是不可靠的信息来源,以验证您的身份。 如银行在登录时的风险是越来越多的网站极高依靠此作为一项安全功能的方法来保护登录页面。 也可以使用一些SaaS应用程序比如Salesforce.com,例如作为一种方法来确认您的身份的方法。 Salesforce.com这样描述此安全功能:
他说:“我们的目标是,以尽量减少允许约定俗成的模式继续受到挑战,所以不会受到影响,用户从一个已知的,值得信赖的IP地址登录,身份确认功能的影响。 免除用户不必采取额外的步骤登录,您可以定义应用程序中的一个值得信赖的IP范围列表“。
由于它是多么容易欺骗的IP地址,我没有看到任何情况下,当一个“值得信赖的IP地址”才能真正被信任。 除了欺骗问题,使用IP进行验证是不是为移动工作者经常登录到SaaS应用程序,而在道路上的一台笔记本电脑上非常方便。 另一方面,1设备指纹(做得好),使一个高度可靠的因素来验证1的身份,和一旦你已经建立了设备的身份可以交叉引用到更多的数据得到1完整的风险配置文件可以帮助你决定是否让网站的访问者中,挑战他们,或把他们带走。
在登录安全的另一边,还有如何保持既安全又方便的登录的困境。 易用性是至关重要的,因为登录安全友好的可用性科学公司在这条解释。 他们指出,“用户不希望'感觉'被激活后,登录的安全保护措施的复杂性,他们只是想在任何时间登录,享受轻松的交易。 如果用户无法登录,访问结束,或至少缩短。“
两个大的优势,作为一个因素来验证用户提供设备识别1)其透明度;验证需要在第二个或两个地方没有任何负担放在网站访客和2)认证实时所以你可以立即决定是否要加快输入一个已知的客户,或停止从不断进入行骗者。
汤姆 -
