Best Practices für die Login-Seiten?
https://stackoverflow.com/questions/243957
-
04-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich arbeite an einer Single-Sign-on Login-Seite mit Shibboleth das werde wird für eine Vielzahl von Web-Anwendungen verwendet. Offensichtlich möchten wir diese Seite so sicher und nutzbar wie möglich machen, während die Auswirkungen von Phishing-Betrug zu begrenzen.
Was sind die besten Praktiken im Auge zu behalten, wenn eine Login-Seite entwerfen?
Einige Fragen, die sich um dieses Thema gekommen sind:
- Ist es wichtig, dass die Login-Seite immer gleich aussehen auf jedem Display?
- Im Gegensatz dazu wäre es von Vorteil sein, dass die Login-Seite eine zufällige Design haben?
- Ist es besser für die Login-Seite der gleiche wie alle Ihrer anderen Seiten zu suchen oder sollte es sein eigenes einzigartiges Design?
- Wenn die Login-Seite sein eigenes einzigartiges Design hat, sollte es andere konstante Elemente von Ihrem Website-Design (wie globale Navigation) integrieren?
- die Anmeldeseite einen geeigneten Ort, um den Benutzer mit zusätzlichen Inhalten (wie zB aktuelle Nachrichten) zur Verfügung zu stellen?
- Gibt es zusätzliche Sicherheitsfunktionen, die den Menschen zu helfen, einbezogen werden sollten, um sicher zu halten?
Lösung
Usability Hinweise:
Persönlich I hate , wenn Websites des „Passwort vergessen“ oder „Benutzername vergessen“ oder „Hilfe“ Links dazwischen das Passwort-Feld setzen und die Login-Button. Als Tastatur Benutzer sollte, ich TAB nicht über sie auf den Submit-Button zu erhalten.
Noch besser wäre es, auch erfassen den Druck auf dem Passwort-Feld eingeben, damit ich mit der Enter-Taste Auto-vorlegen.
Andere Tipps
halten das gleiche Design in Ihre Login-Seite wissen die Benutzer lassen sie auf Ihre Seite anmelden versuchen, wenn Designänderung zufällig denken vielleicht Benutzer hat die Seite bewegt worden ist, oder sie werden Opfer von Pishing. so würde ich empfehlen, die gleichen Richtlinien wie Ihre Content-Seiten zu halten
Egal, was Sie entwerfen, wird ein Phisher der Lage sein, es zu imitieren. Phishing vollständig zu verhindern, ist ein schwieriges Problem. Sie werden im Wesentlichen einige Mittel haben, um die Benutzer zu identifizieren vor sie sich anmelden. Einige Banken dies jetzt tun. Sie geben Sie Ihren Namen, und Sie dann ein Bild sie zeigen Ihnen selbst ausgewählt haben, und dann, wenn Sie sicher sind, ist es das gleiche Bild, geben Sie Ihr Passwort ein. Dies kann ein höheres Maß an Komplexität als das, was Ihre Website erfordert.
Auf der technischen Seite, Bank Of America erreicht dies durch einen Flash-Local Shared Object namens Passmark verwendet. Ihr Browser sendet leise diese Daten zurück, sich an die Bank zu identifizieren. Wenn Sie das LSO löschen, dann werden Sie nicht Ihr Bild angezeigt werden, da BofA Sie nicht identifizieren können. Auch dies immer noch anfällig ist für die Menschen-in-the-Middle-Angriffe.
Eine andere „no duh“ Sache, die ich auf eine Menge von Anwendungen sehen noch ich gehen, wenn die angegebenen Anmeldeinformationen ungültig sind, zeigen nicht, welche ungültig ist. sagen Sie einfach so etwas wie „ungültig Benutzer / Passwort-Kombination“ anstelle von „ungültiges Passwort“, das diese Leute von Social Engineering verhindern eine Benutzerbasis Zugriff auf Ihre Seite zu wissen.
Smashing Magazine hat ziemlich komplett Razzia über Login-Formulare. Webformular Design Patterns: Sign-Up Forms
umfasst Anwendungsebene dos Prävention
Seien Sie unspezifischer mit Login Ausfälle. Ein generischer „Fehler bei der Anmeldung“ anstelle von „Unknown Username“.
ein Captcha oder anderen Turing-Test verwenden.
Scheint wie ein Kinderspiel, aber HTTPS verwenden, wenn die App erfordert. Heck, auch wenn sie es nicht rechtfertigen, weil die Menschen die gleichen Passwörter wieder zu verwenden neigen. Sie können ein SSL-Zertifikat billig in diesen Tagen. Wenn sie ein Passwort von Ihrer Website heben können sie es anderswo versuchen. Auch viele Banken haben nicht die Login-Seite auf eine sichere Leitung. Es bucht zu einer HTTPS-Seite, aber es gibt noch keinen Schutz eines Mannes in der Mitte Art Angriff.
Ich bin mit Omniwombat. Phishing ist ein schwieriges Problem zu lösen, gut und scheinbar unmöglich, sie vollständig zu lösen.
Denken Sie wie ein Benutzer sowie ein Wachmann., Wenn Sie sie mit einem Spam auszukommen jedes Mal anmelden, dann werden sie ziemlich krank davon bekommen
Wenn Sie versuchen, Denial-of-Service zu verhindern, dann vielleicht ein Captcha erscheint erst nach gibt es genug (gescheitert?) Login-Versuche in einem bestimmten Zeitraum.
Betrachten wir mit NTLM, OpenID oder Shibboleth Login so automatisch wie möglich zu machen für die meisten Benutzer.
Sie nicht die Menschen zu einer anderen Seite gehen zu registrieren. Vermutlich werden Sie Benutzername und Passwort-Felder haben, und ein Login / Submit-Button. Fügen Sie einfach ein „als neue Nutzer registrieren“, um als gut, so dass neue Benutzer die bestehenden Benutzername / Passwort-Felder verwenden können. Wenn Sie für neue Benutzer zusätzliche Details zu sammeln, Popup ein Formular (mit DHTML, nicht ein Popup-Fenster), um sie zu sammeln.
Ein Tipp für Umstände kommen: Sie können durch Hinzufügen der automatischen Vervollständigung = „off“, um das Passwort-Feld clientseitige Speichern von Passwörtern deaktivieren.
Das funktioniert nicht auf allen Browsern (wenn ich mich erinnere, IE 6 + und Firefox 3 +)
Das Beste, was ich bisher in einem Versuch gesehen habe Phishing zu stoppen, ist eine Login-Schnittstelle der Bank. Der Login in 3 Teile erfolgt zunächst der Benutzer gibt seine Kontonummer (Debitkartennummer, Kreditkartennummer ...), der zweite Schritt 1 zufällige Liste wird von drei Fragen von einem Benutzer angegeben (zB: Was Hochschule haben Sie besucht für Klasse 10), der letzte Teil, wenn die ersten beiden erfolgreich sind, ist ein Bild und einen Text vom Anwender anmelden, mit dem Passwort-Feld unten angegeben angezeigt werden soll.
Erkenne, dass Ihr Benutzer wird im Allgemeinen alle 10 Sekunden auf dieser Seite zu verbringen, ist es wirklich egal, was es so lange sieht aus, als es offensichtlich ist, wo der Benutzer-ID und das Passwort zu setzen. Anders als das gerade sei nicht einer dieser Websites, die mein Passwort bietet mir eine E-Mail, wenn ich es vergessen. Lassen Sie mich wenigstens glaube, dass es irgendwo in einem schönen gesalzenen Hash versteckt, wo man es überhaupt nicht abrufen kann.
@ Joe Lencioni, und alle anderen Interessierten in Shibboleth
Ihre Website-Seiten sollen die Gesamt gleiche Aussehen haben und auf jeder Seite fühlen.
In Bezug auf Shibboleth und SSO. Es ist wichtig, die Rolle der Organisation verknüpft ist zu beachten. Sind Sie ein Identity Provider - IdP (Authentifizierung des Benutzers und dann die Antwort auf die SP zu senden) oder sind Sie der Service Provider -. SP (die von der IdP gesendet Authentifizierung basierend auf der Antwort und Attribute gewähren
Wenn Sie ein SP sind, haben Sie, was Flexibilität, die Sie wünschen die Benutzer auf einen IdP zu verbinden für sie anmelden, um zu. Viele SP ihre eigenen WAYF (Where Are You From) Seite, die den Benutzer auf die Login-Seite des IdP umleitet.
Wenn Sie ein IdP sind, sollten Sie eine Login-Seite, die dem Benutzer bekannt vor, so dass sie anmelden und dann mit den Attributen auf die SP umgeleitet werden, die für die SP benötigt einen angemessenen Zugang zu gewähren.
Was Phishing geht, ist es wichtig, Shibboleth Metadaten aktuell zu halten. Ich glaube, viele Verbände empfehlen Metadaten Herunterladen jeder (1) Stunde.
Viele Shibboleth Fragen können hier beantwortet werden: https://spaces.internet2.edu/display / SHIB2 / Startseite
Hope, das hilft dir.
