Le migliori pratiche per le pagine di accesso?
https://stackoverflow.com/questions/243957
-
04-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto lavorando a un'unica pagina di accesso di accesso utilizzando Shibboleth che essere utilizzato per una varietà di applicazioni Web. Ovviamente vorremmo rendere questa pagina il più sicura e utilizzabile possibile limitando gli effetti delle truffe di phishing.
Quali sono le migliori pratiche da tenere a mente quando si progetta una pagina di accesso?
Alcune domande che sono emerse su questo problema:
- È importante che la pagina di accesso sia sempre la stessa su tutti i display?
- Al contrario, sarebbe utile che la pagina di accesso avesse un design casuale?
- È meglio che la pagina di accesso sia uguale a tutte le altre pagine o dovrebbe avere un design unico?
- Se la pagina di accesso ha un design unico, dovrebbe includere altri elementi costanti dal design del tuo sito (come la navigazione globale)?
- La pagina di accesso è un luogo appropriato per fornire all'utente contenuti aggiuntivi (come le ultime notizie)?
- Esistono funzionalità di sicurezza aggiuntive che dovrebbero essere incluse per aiutare a proteggere le persone?
Soluzione
Note sull'usabilità:
Personalmente odio quando i siti inseriscono la "password dimenticata" o " nome utente dimenticato " o " aiuto " collegamenti tra il campo password e il pulsante Accesso. Come utente di tastiera, non dovrei TAB su di loro per arrivare al pulsante di invio.
Meglio ancora, cattura anche il tasto Invio nel campo della password in modo che io possa inviare automaticamente con il tasto Invio.
Altri suggerimenti
mantenendo lo stesso design nella tua pagina di accesso informerai i tuoi utenti che stanno tentando di accedere alla tua pagina se la modifica del design in modo casuale l'utente può pensare che il sito sia stato spostato o che sia vittima di pishing. quindi consiglierei di mantenere le stesse linee guida delle tue pagine di contenuti
Indipendentemente da ciò che progetti, un Phisher sarà in grado di imitarlo. Prevenire completamente il phishing è un problema difficile. Dovrai essenzialmente disporre di alcuni mezzi per identificare i tuoi utenti prima che accedono. Alcune banche lo fanno ora. Inserisci il tuo nome, e poi ti mostrano un'immagine che tu stesso hai selezionato, e quindi, una volta che sei sicuro che sia la stessa immagine, inserisci la tua password. Potrebbe trattarsi di un livello di complessità maggiore di quello richiesto dal tuo sito.
Dal punto di vista tecnico, Bank Of America realizza questo utilizzando un oggetto condiviso locale Flash chiamato PassMark. Il tuo browser rinvia silenziosamente questi dati identificandoti alla Banca. Se elimini l'LSO, non ti verrà mostrata la tua immagine perché BofA non può identificarti. Anche questo è ancora vulnerabile agli attacchi man-in-the-middle.
Un altro " no duh " cosa che vedo ancora su molte applicazioni a cui vado, se le credenziali specificate non sono valide, non indicano quale non è valida. Dì semplicemente qualcosa come " combinazione utente / password non valida " invece di " password non valida " ciò impedirà a queste persone del social engineering di conoscere una base di utenti che accede al tuo sito.
Smashing Magazine ha un riepilogo abbastanza completo dei moduli di accesso. Modulo Web Modelli di progettazione: moduli di iscrizione
include la prevenzione del dosaggio a livello di applicazione
Essere non specifici con errori di accesso. Un generico "Accesso fallito" anziché " Nome utente sconosciuto " ;.
Usa un captcha o un altro test di turing.
Sembra un gioco da ragazzi, ma usa HTTPS se l'app lo richiede. Cavolo, anche se non lo giustifica perché le persone tendono a riutilizzare le stesse password. Al giorno d'oggi puoi ottenere un certificato SSL economico. Se sollevano una password dal tuo sito, possono provarla altrove. Anche molte banche non hanno la pagina di accesso su una linea sicura. Pubblica su una pagina HTTPS, ma non c'è ancora protezione di un uomo nell'attacco di tipo medio.
Sono d'accordo con Omniwombat. Il phishing è un problema difficile da risolvere bene e sembra impossibile risolverlo completamente.
Pensa come un utente e una guardia di sicurezza: se fai in modo che facciano un captcha ogni volta che effettuano il login, si stancheranno abbastanza di esso.
Se stai provando a prevenire la negazione del servizio, forse fai apparire un captcha solo dopo che ci sono abbastanza tentativi di accesso (falliti?) in un certo periodo di tempo.
Prendi in considerazione l'utilizzo di NTLM, OpenID o Shibboleth per rendere l'accesso il più automatico possibile per la maggior parte degli utenti.
Non far andare le persone in una pagina separata per registrarsi. Presumibilmente avrai campi nome utente e password e un pulsante di accesso / invio. Aggiungi un " registrati come nuovo utente " pulsante, in modo che i nuovi utenti possano utilizzare i campi nome utente / password esistenti. Se devi raccogliere ulteriori dettagli per i nuovi utenti, compila un modulo (usando DHTML, non una finestra popup) per raccoglierli.
Un suggerimento utile per le circostanze: Puoi disabilitare il salvataggio della password sul lato client aggiungendo il completamento automatico = " off " nel campo password.
Non funziona su tutti i browser (se ricordo, IE 6+ e Firefox 3+)
Il migliore che ho visto finora nel tentativo di fermare il phishing è l'interfaccia di accesso di una banca. L'accesso viene effettuato in 3 parti, prima l'utente inserisce il proprio numero di conto (numero di carta di debito, numero di carta di credito ...), il secondo passo elencherà casualmente 1 delle 3 domande specificate da un utente (ad es .: quale scuola superiore hai frequentato per il voto 10), l'ultima parte, se i primi due hanno esito positivo, è visualizzare un'immagine e del testo specificati dall'utente al momento dell'iscrizione, con il campo password di seguito.
Renditi conto che il tuo utente trascorrerà tutti i 10 secondi su quella pagina in generale, non importa davvero come appare fintanto che è ovvio dove inserire l'ID utente e la password. A parte questo, non essere uno di quei siti che offrono di inviarmi via e-mail la mia password se la dimentico. Almeno fammi credere che sia nascosto in un bel hash salato da qualche parte dove non puoi recuperarlo mai.
@Joe Lencioni e tutti gli altri interessati a Shibboleth
Le pagine del tuo sito dovrebbero avere lo stesso aspetto generale su ogni pagina.
Riguardo a Shibboleth e SSO. È importante notare a quale ruolo è associata l'organizzazione. Sei un fornitore di identità - IdP (autenticazione dell'utente e quindi invio della risposta all'SP) o sei il fornitore di servizi - SP (che garantirà l'autenticazione in base alla risposta e agli attributi inviati dall'IdP.
Se sei un SP, hai tutta la flessibilità che desideri collegare i tuoi utenti a un IdP per consentire loro di accedere. Molti SP creano la propria pagina WAYF (Where Are You From) che reindirizzerà l'utente alla pagina di accesso dell'IdP.
Se sei un IdP, dovresti avere una pagina di accesso che appaia familiare all'utente in modo che possa accedere e quindi essere reindirizzato a SP con gli attributi necessari per consentire a SP di accedere correttamente.
Per quanto riguarda le truffe di phishing, è importante mantenere aggiornati i metadati di Shibboleth. Credo che molte Federazioni raccomandino di scaricare metadati ogni (1) ora.
Qui è possibile rispondere a molte domande di Shibboleth: https://spaces.internet2.edu/display / SHIB2 / Casa
Spero che questo ti aiuti.
