Meilleures pratiques pour les pages de connexion?
https://stackoverflow.com/questions/243957
-
04-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je travaille sur une page de connexion à connexion unique avec Shibboleth être utilisé pour une variété d'applications Web. Nous souhaitons évidemment rendre cette page aussi sûre et utilisable que possible tout en limitant les effets des tentatives de phishing.
Quelles sont les meilleures pratiques à garder à l'esprit lors de la conception d'une page de connexion?
Certaines questions ont été soulevées autour de ce problème:
- Est-il important que la page de connexion ait toujours la même apparence sur tous les écrans?
- Inversement, serait-il avantageux que la page de connexion ait un design aléatoire?
- Est-il préférable que la page de connexion ait le même aspect que toutes vos autres pages ou doit-elle avoir son propre design?
- Si la page de connexion a son propre design, doit-elle incorporer d'autres éléments constants du design de votre site (comme la navigation globale)?
- La page de connexion est-elle un endroit approprié pour fournir à l'utilisateur un contenu supplémentaire (tel que les dernières actualités)?
- Existe-t-il des fonctionnalités de sécurité supplémentaires à inclure pour assurer la sécurité des personnes?
La solution
Remarques sur l'utilisation:
Personnellement, je déteste lorsque les sites placent le " mot de passe oublié " ou " nom d'utilisateur oublié " ou " aide " liens entre le champ mot de passe et le bouton de connexion. En tant qu'utilisateur de clavier, je ne devrais pas avoir à taper dessus pour accéder au bouton d'envoi.
Mieux encore, capturez également la touche Entrée sur le champ du mot de passe afin que je puisse soumettre automatiquement avec la touche Entrée.
Autres conseils
conserver la même conception dans votre page de connexion fera savoir à vos utilisateurs qu'ils tentent de se connecter à votre page si la modification de conception est effectuée aléatoirement si l'utilisateur peut penser que le site a été déplacé ou s'ils sont victimes de pishing. donc je recommanderais de garder les mêmes directives que vos pages de contenu
Peu importe ce que vous concevez, un Phisher pourra l’imiter. Empêcher complètement le phishing est un problème difficile. Vous devrez essentiellement disposer d’un moyen d’identifier vos utilisateurs avant de vous connecter. Certaines banques le font maintenant. Vous entrez votre nom, puis ils vous montrent une image que vous avez vous-même sélectionnée, puis, une fois que vous êtes certain que c'est la même image, vous entrez votre mot de passe. Cela peut représenter un niveau de complexité supérieur à celui requis par votre site.
Sur le plan technique, Bank Of America accomplit cette tâche en utilisant un objet partagé local Flash appelé PassMark. Votre navigateur renvoie en silence ces données qui vous identifient à la banque. Si vous supprimez le LSO, votre image ne sera pas affichée car BofA ne peut pas vous identifier. Même cela reste vulnérable aux attaques de type homme au milieu.
Un autre "no duh" Ce que je vois encore dans beaucoup d'applications où je vais, si les informations d'identification spécifiées ne sont pas valides, n'indique pas laquelle est invalide. Dites simplement quelque chose comme "combinaison invalide utilisateur / mot de passe". au lieu de " mot de passe invalide " Cela empêchera les ingénieurs sociaux de connaître les utilisateurs qui accèdent à votre site.
Smashing Magazine propose une liste assez complète de formulaires de connexion. Formulaire Web Modèles de conception: formulaires d'inscription
inclure la prévention des dos au niveau de l'application
Soyez non spécifique avec les échecs de connexion. Un "quotient de connexion générique" " générique au lieu de "Nom d'utilisateur inconnu".
Utilisez un captcha ou un autre test de turing.
Cela semble aller de soi, mais utilisez HTTPS si l'application le nécessite. Zut, même si cela ne le justifie pas car les gens ont tendance à réutiliser les mêmes mots de passe. Vous pouvez obtenir un certificat SSL pas cher ces jours-ci. S'ils retirent un mot de passe de votre site, ils peuvent l'essayer ailleurs. Même de nombreuses banques n'ont pas la page de connexion sur une ligne sécurisée. Il publie sur une page HTTPS, mais il n’existe toujours pas de protection contre les attaques de type homme.
Je suis d'accord avec Omniwombat. Le phishing est un problème difficile à résoudre et apparemment impossible à résoudre complètement.
Pensez à la fois à un utilisateur et à un agent de sécurité: si vous leur faites faire un captcha chaque fois qu’ils se connectent, ils en auront vraiment marre.
Si vous essayez d'empêcher un déni de service, alors peut-être qu'un captcha n'apparaisse qu'après un nombre suffisant de tentatives de connexion (échec?) au cours d'une certaine période.
Pensez à utiliser NTLM, OpenID ou Shibboleth pour rendre la connexion aussi automatique que possible pour la plupart des utilisateurs.
Ne forcez pas les gens à s’inscrire sur une page distincte. Vous aurez probablement des champs nom d'utilisateur et mot de passe, ainsi qu'un bouton de connexion / envoi. Ajoutez simplement un " s'inscrire en tant que nouvel utilisateur " Ce bouton permet également aux nouveaux utilisateurs d’utiliser les champs Nom d’utilisateur / Mot de passe existants. Si vous devez collecter des informations supplémentaires pour les nouveaux utilisateurs, ouvrez un formulaire (en utilisant DHTML et non une fenêtre contextuelle) pour les collecter.
Un conseil utile dans certains cas: Vous pouvez désactiver l'enregistrement du mot de passe côté client en ajoutant autocomplete = " off " au champ mot de passe.
Cela ne fonctionne pas sur tous les navigateurs (si je me souviens bien, IE 6+ et Firefox 3 +)
Le meilleur que j'ai vu jusqu'à présent pour tenter d'arrêter le phishing est l'interface de connexion d'une banque. La connexion se fait en 3 parties: l’utilisateur entre son numéro de compte (numéro de carte de débit, numéro de carte de crédit, etc.), la deuxième étape listera au hasard 1 des 3 questions spécifiées par un utilisateur (par exemple: Quel lycée avez-vous participé?) pour la 10e année), la dernière partie, si les deux premières réussissent, consiste à afficher une image et du texte spécifié par l'utilisateur lors de son inscription, à l'aide du champ de mot de passe ci-dessous.
Sachez que votre utilisateur passera généralement toutes les 10 secondes sur cette page. L’aspect de la page importe peu, tant qu’il est évident de savoir où placer votre identifiant et votre mot de passe. Autre que cela, ne soyez pas l'un de ces sites qui propose de m'envoyer mon mot de passe par courrier électronique si je l'oublie. Laissez-moi au moins croire qu’il est caché dans un hachis salé où il est impossible de le récupérer.
@Joe Lencioni, et tous les autres intéressés par Shibboleth
Les pages de votre site doivent avoir la même apparence générale sur chaque page.
En ce qui concerne Shibboleth et SSO. Il est important de noter le rôle auquel votre organisation est associée. Êtes-vous un fournisseur d'identité - IdP (authentification de l'utilisateur, puis envoi de la réponse au SP), ou êtes-vous le fournisseur de services - SP (qui accordera l'authentification en fonction de la réponse et des attributs envoyés par le IdP.
Si vous êtes un fournisseur de services, vous disposez de la flexibilité que vous souhaitez pour associer vos utilisateurs à un fournisseur d'identité pour qu'ils puissent se connecter. De nombreux SP créent leur propre page WAYF (Where Are You From) qui redirigera l'utilisateur vers la page de connexion du fournisseur d'identité.
Si vous êtes un IdP, vous devez avoir une page de connexion qui semble familière à l'utilisateur pour qu'il puisse se connecter puis être redirigé vers le SP avec les attributs nécessaires pour lui permettre d'accorder un accès correct.
En ce qui concerne les tentatives de phishing, il est important de conserver les métadonnées Shibboleth à jour. Je pense que de nombreuses Fédérations recommandent de télécharger les métadonnées toutes les heures.
Vous pouvez répondre à de nombreuses questions sur Shibboleth ici: https://spaces.internet2.edu/display / SHIB2 / Accueil
J'espère que cela vous aide.
