最佳做法登录网页？

Question

我工作的一个单一登录上登录网页的使用 Shibboleth 将使用各种网络应用程序。很明显我们想使这个页面为安全和可用的，同时尽可能限制性的影响，仿冒诈骗。

什么是最好的做法，要牢记当设计的登录网页？

一些问题，必须拿出解决此问题：

• 重要的是登录网页总是看起来是一样的每个显示器上?
• 相反，它将有利于登录网页有一个随机的设计？
• 它是更好地用于登录网页看起来是一样的，因为所有的其他页还是应该有自己独特的设计？
• 如果登录网页都有自己独特设计，它应该纳入其他恒的要素，从你的网站设计(例如全球导航)?
• 是的登录网页的一个适当的地方向用户提供额外的内容(如最新的新闻)?
• 是否有任何附加安全特性，应该包括帮助让人们安全吗？

Answer 1

可用性注释：

我个人 恨 当地把"忘记密码"或"忘记的用户名"或"帮助"的链接间的密码和登录按钮。作为一个键盘的用户，我不应该来签过他们得到的提交按钮。

更好的是，还捕获的输入按键密码字这样我就可以自动提出与进入关键。

Answer 2

保持同一设计的登录网页将让我们知道你的用户，他们正在试图登录到的页面，如果设计的随意改变用户可能认为该网站已经移动，或者他们是受害者的pishing.因此，我将推荐保持相同的准则内容的网页

Answer 3

不管是什么你的设计、网络钓鱼者将能够效仿。防止网络钓鱼的完全是一个困难的问题。你将基本上必须有某种手段的识别用户 之前 他们登录。一些银行这样做。你输入你的名字，然后他们告诉你一个像你自己选的，然后，一旦你一定是相同的图像，你输入您的密码。这可能是一个更大的复杂程度比你的站点的需要。

在技术方面，美国银行实现了这一点通过使用一个闪光的本地共享的对象所谓的分数.你浏览器默默地送回这些数据确定自己的银行。如果删除莱索托、然后你会不会显示你的形象，因为美国银行不能确定。即使这仍然是脆弱的人中间的攻击。

Answer 4

一个其他"没有咄"的事情，我仍然看到在很多应用程序，我去，如果指定的凭证都是无效的，并不表明哪一个是无效的。只是说有点像"无效的用户/用户密码组合"而不是"无效密码"将防止那些人从社会工程知道的用户基访问的网站。

Answer 5

碎杂志有漂亮的完成了关于登录的形式。网络的形式设计的模式：注册的形式

Answer 6

包括应用程序级别dos预防

非具体的登录失败。一个通用"的登录失败"而不是"未知的用户名".

使用一个验证码或其他图灵试验。

Answer 7

似乎是个显而易见的，但使用HTTPS如果该程序要求。哎呀，即使它并不保证它，因为人们倾向于重复使用相同的密码。你可以得到一个SSL cert廉价的这些天。如果他们举一个密码从你的网站，他们可以尝试在其他地方。甚至许多银行没有登录网页上安全线。这个员额到HTTPS页，但是，仍然没有保护的一个中间人类的攻击。

我同意Omniwombat.钓鱼是一个难以解决的问题以及和看似不可能的解决它完全。

Answer 8

想像一个用户以及一个安全保护：如果你让他们做一个验证码，每次登录，他们会得到很讨厌它。

如果你试图阻止拒绝服务，那么也许作一个验证出现后，才有足够的(失败？) 登录尝试在一定的时间期限。

考虑使用NTLM，OpenID，或Shibboleth使登录作为自动尽可能为大多数用户。

不要让人们去一个单独的网页注册。想必你会有用户名和密码和登录/中提交按钮。只是添加了一个"注册为新用户"按钮，因此，新的用户可以使用的现有用户名和密码领域。如果你需要收集更多的详细信息的新用户、弹出一个形式(使用的尝试，恐怕,不是弹出窗口)，以收集他们。

Answer 9

一个有用的提示来情况：你可以禁用客户端口令保存通过增加自动完成="关闭"到密码领域。

不工作的所有浏览器(如果我记得，即6+和Firefox3+)

Answer 10

我见过的最好迄今为止在一个企图阻止网络钓鱼是一家银行的登入界面。登录在3部分，第一本用户进入他们的帐户数量(借记卡号码、信用卡号码...)，第二步将随机的列表1的3个问题，指定由一个用户(如：什么高中你有没有参加为10年级)，最后一个部分，如果前两个成功是显示器的图像和一些文字规定，通过用户注册、使用密码领域。

Answer 11

意识到你的用户是要花10秒钟在该网页上一般来说，这真的不管是什么它看起来像只要它是明显的在哪里把你的用户名和密码。比其他的，只是不是其中一个网站，提供电子邮件给我我的密码，如果我忘记它。至少让我相信它是隐藏在一个漂亮的盐散的地方在这里你可以不检索它。

Answer 12

@乔伦乔尼和其他人感兴趣Shibboleth

你的网站的页面应该具有整体相同外观和感觉上每一页。

关于Shibboleth，并SSO。重要的是要注意其中的作用组织相关联。你是一个身份提供者-国内流离失所者(对用户进行身份验证，然后送回应SP)，或者是你的服务提供者-SP(谁将准予验证的基础上应对和属性发送的IdP。

如果你是一个SP，你有什么灵活性的愿望链接用户的一个境内流离失所者，为他们登录。许多SP创造他们自己的WAYF(你是从哪里来的)网页，将向用户登录网页的IdP。

如果你是一个国内流离失所者，你应该有一个登录网页，看起来熟悉的用户，因此他们可以登录然后被转到SP的属性，都需要SP给予适当的访问。

尽仿冒诈骗去，重要的是要保持Shibboleth元数据电流。我相信许多联合会建议元数据下载的每一(1)个小时。

许多Shibboleth问题可以在这里找到答案: https://spaces.internet2.edu/display/SHIB2/Home

希望这可以帮助你。