Я могу разработать свою собственную объективную-C Платформу для Сенсорных Приложений Какао?

Существует три фактора аутентификации:

1. пользователь А знает что-то (т.е., пароль)
2. , пользователь А имеет что-то (т.е., брелок)
3. , пользователь А что-то (т.е., сканирование сетчатки)

Обычно, веб-сайты только осуществляют политику № 1. Даже большинство банков только осуществляет политику 1. Они вместо этого полагаются, "знает, что что-то еще" приближается к двухфакторной аутентификации. (IE: пользователь знает их пароль и девичью фамилию их родительского элемента.), Если Вы можете, способ добавить во втором факторе аутентификации не является слишком трудным.

, Если можно генерировать приблизительно 256 символов случайности, Вы могли бы структурировать это в 16× 16 таблиц, и затем просят, чтобы пользователь дал Вам значение в таблице ячейки A-14, например. Когда пользователь подпишется или изменит их пароль, дайте им таблицу и скажите им печатать ее прочь и сохранять ее.

трудность с тем подходом состоит в том, что, когда пользователь забывает их пароль, как они будут, Вы не можете только предложить стандарт, "отвечают на этот вопрос и вставляют новый пароль", так как это уязвимо для "в лоб" также. Кроме того, Вы не можете сбросить его и послать им по электронной почте нового, так как их электронная почта могла быть поставлена под угрозу также. (См.: Makeuseof.com и их украденный домен.)

Другая идея (который включает котят), то, что BOA называет SiteKey (я полагаю, что они регистрировали имя как торговую марку). Кратко, Вы сделали, чтобы пользователь загрузил изображение, когда они регистрируются, и когда они пытаются войти в систему, попросите, чтобы они выбрали свое изображение из 8 или 15 (или больше) случайные. Так, если пользователь загружает картинку их котенка, теоретически только они знают точно, какое изображение их из всех других котят (или цветы или безотносительно). Единственный реальный vunerability, который имеет этот подход, является атакой "человек посередине".

Еще одна идея (никакие котята, хотя), должен отследить дюйм/с, что пользователи получают доступ к системе с и требуют, чтобы они выполнили дополнительную аутентификацию (капча, выберите котенка, выберите ключ от этой таблицы), когда они входят в систему от адреса, они не имеют прежде. Кроме того, подобный Gmail, позвольте пользователю просматривать, где они вошли в систему от недавно.

Редактирование, Новая Идея:

Другой способ проверить попытки входа в систему состоит в том, чтобы проверить, произошел ли пользователь из Вашей страницы входа в систему. Вы не можете проверить ссылающиеся домены, так как они могут легко фальсифицироваться. То, в чем Вы нуждаетесь, должно установить ключ в _SESSION var, когда пользователь просматривает страницу входа в систему, и затем проверьте, чтобы удостовериться, что ключ существует, когда они отправляют свои данные для входа. Если бот не отправит от страницы входа в систему, то он не сможет войти в систему. Можно также упростить это путем вовлечения JavaScript в процессе, или при помощи его для установки cookie, или добавления некоторой информации к форме после того, как это загрузилось. Или, можно развестись, форма в два различных отправляет (т.е., пользователь вводит их имя пользователя, отправляет, затем на новой странице вводит их пароль, и отправьте снова.)

ключ, в этом случае, является самым важным аспектом. Общепринятая методика генерации их является некоторой комбинацией данных пользователя, их IP, и время, это было отправлено.