Я работаю над одной регистрационной страницей входа в систему, используя Shibboleth, который будет использоваться для различных веб-приложений. Очевидно, мы хотели бы сделать эту страницу максимально безопасной и полезной, ограничивая при этом последствия фишинговых атак.
Какие рекомендации следует учитывать при разработке страницы входа в систему?
Некоторые вопросы, которые возникли по этой проблеме:
Примечания к юзабилити:
Лично я ненавижу, когда сайты помещают "забытый пароль" или "забывают имя пользователя" или "помогать" между полями пароля и кнопкой "Вход". Как пользователь клавиатуры, я не должен был бы TAB над ними, чтобы добраться до кнопки отправки.
Еще лучше, также возьмите Enter Enter в поле пароля, чтобы я мог автоматически отправить с помощью клавиши Enter.
Сохранение того же дизайна на странице входа в систему позволит узнать ваших пользователей, что они пытаются войти на вашу страницу, если изменение дизайна случайно может показаться, что сайт был перемещен или они становятся жертвами рассылки. поэтому я бы рекомендовал придерживаться тех же рекомендаций, что и ваши страницы контента
Независимо от того, что вы разрабатываете, Phisher сможет имитировать его. Предотвращение фишинга - это сложная проблема. Вы, по сути, должны иметь некоторые способы идентификации своих пользователей, прежде чем они войдут в систему. Некоторые банки делают это сейчас. Вы вводите свое имя, а затем показываете свое изображение, которое вы сами выбрали, а затем, когда вы уверены, что это то же изображение, вы вводите свой пароль. Это может быть более высокий уровень сложности, чем требуется вашему сайту.
С технической стороны Bank Of America выполняет это, используя Flash Local Shared Object под названием PassMark. Ваш браузер молча отправляет эти данные, идентифицируя себя в Банке. Если вы удалите LSO, вам не будет показан ваш образ, потому что BofA не сможет идентифицировать вас. Даже это все еще уязвимо для нападений "человек-в-середине".
Еще одна вещь "нет духа", которую я все еще вижу во многих приложениях, к которым я обращаюсь, если указанные учетные данные недействительны, не указывайте, какой из них недопустим. Просто скажите что-то вроде "недействительной комбинации пользователей и паролей" вместо "недопустимый пароль", который запретит этим людям из социальной инженерии знать пользовательскую базу, обращающуюся к вашему сайту.
Smashing Magazine имеет довольно полный обзор форм входа в систему. Шаблоны проектирования веб-форм: формы регистрации
включить защиту уровня приложения
Будьте неспецифичны с ошибками входа. Генерированный "Login failed" вместо "Неизвестное имя пользователя".
Используйте пробную или пробную проверку.
Похоже, что это не проблема, но используйте HTTPS, если это требует приложение. Heck, даже если это не оправдывает этого, потому что люди склонны повторно использовать одни и те же пароли. В наши дни вы можете получить сертификат SSL. Если они снимут пароль с вашего сайта, они могут попробовать его в другом месте. Даже у многих банков нет страницы входа в безопасную линию. Он отправляется на страницу HTTPS, но до сих пор нет защиты человека от атаки среднего типа.
Я согласен с Omniwombat. Фишинг - это трудная проблема, чтобы решить проблему и, казалось бы, ее невозможно полностью решить.
Подумайте, как пользователь, а также охранник: если вы заставляете их делать переписку каждый раз, когда вы входите в систему, они будут очень усталыми от этого.
Если вы пытаетесь предотвратить отказ в обслуживании, возможно, сделать капчу, только после того, как в течение определенного периода времени будет достаточно попыток входа в систему (неудачно?).
Рассмотрите возможность использования NTLM, OpenID или Shibboleth, чтобы сделать логин максимально автоматическим для большинства пользователей.
Не заставляйте людей переходить на отдельную страницу для регистрации. Предположительно, у вас будут поля имени пользователя и пароля, а также кнопка входа/отправки. Просто добавьте кнопку "зарегистрироваться как новый пользователь", чтобы новые пользователи могли использовать существующие поля имени пользователя и пароля. Если вам нужно собрать дополнительные сведения для новых пользователей, всплывающую форму (используя DHTML, а не всплывающее окно), чтобы собрать их.
Полезный совет для возникновения обстоятельств: Вы можете отключить сохранение пароля на стороне клиента, добавив autocomplete = "off" в поле пароля.
Это не работает во всех браузерах (если я помню, IE 6+ и Firefox 3 +)
Лучшее, что я видел до сих пор в попытке остановить фишинг, - это интерфейс входа в банк. Вход в систему выполняется в 3 частях, сначала пользователь вводит номер своей учетной записи (номер дебетовой карты, номер кредитной карты...), второй шаг будет случайным образом отображать 1 из 3 вопросов, заданных пользователем (например: какая средняя школа посещала для класса 10), последняя часть, если первые две успешны, отображает изображение и некоторый текст, указанный пользователем при регистрации, с полем пароля ниже.
Поймите, что ваш пользователь будет тратить все 10 секунд на этой странице в целом, это действительно не имеет значения, на что это похоже, пока очевидно, где разместить свой идентификатор пользователя и пароль. Помимо этого просто не один из тех сайтов, которые предлагают отправить мне мой пароль, если я его забуду. По крайней мере, позвольте мне поверить, что он скрыт в хорошем соленым хешем где-то, где вы не можете его восстановить.
@Joe Lencioni, и все, кого интересует Shibboleth
Страницы вашего сайта должны иметь одинаковый внешний вид на каждой странице.
Относительно Shibboleth и SSO. Важно отметить, с какой ролью связана ваша организация. Вы поставщик удостоверений - IdP (аутентификация пользователя, а затем отправка ответа на SP), или вы являетесь поставщиком услуг - SP (который предоставит аутентификацию на основе ответа и атрибутов, отправленных IdP.
Если вы SP, у вас есть какая бы гибкость, вы хотите связать своих пользователей с IdP для входа в систему. Многие SP создают свою собственную страницу WAYF (Where Are You From), которая перенаправляет пользователя на страницу входа в систему IdP.
Если вы являетесь IdP, у вас должна быть страница входа в систему, которая выглядит знакомой пользователю, поэтому они могут войти в систему и затем перенаправляться в SP с атрибутами, которые необходимы для предоставления SP надлежащего доступа.
Что касается фишинг-мошенничества, важно сохранить текущие метаданные Shibboleth. Я считаю, что многие федерации рекомендуют скачивать метаданные каждый (1) час.
На многие вопросы Shibboleth можно ответить здесь: https://spaces.internet2.edu/display/SHIB2/Home
Надеюсь, это поможет вам.