Security 锁定策略和一次性密码

我有一个一次性密码系统为我的网站实施使用。此密码通过SMS发送到移动设备。用户只能在其移动设备上接收密码，密码在15分钟后过期

用户还具有通常使用的标准字母数字“主密码”。我已经实现了一个3失败锁定工作流。此锁定持续15分钟

---

我的问题是，从安全角度来看，只锁定“主密码”是否可以接受？如果用户使用一次性密码功能，我是否应该允许用户使用锁定策略？我是否打开了任何类型的安全漏洞？

这并不是你问题的答案，但在构建这样的系统时，你必须记住，每次两个对接头出现时，可用性都胜过安全性。您对最终用户制定的安全策略越严格，他们就越有动力想出不安全的解决办法来完成他们的工作

---

不过，比我在这里总结的更好的是，我建议大家阅读一下他的文章。

这并不能完全回答你的问题，但在构建这样的系统时，你必须记住，每次两个对接都是可用性胜过安全性。您对最终用户制定的安全策略越严格，他们就越有动力想出不安全的解决办法来完成他们的工作

---

不过，比我在这里总结的更好的是，我建议你阅读一下他的文章。

我理解你对安全性和可用性的观点，我为你提供了实现静态密码锁定机制，这已成为几乎所有网站事实上的标准

解释得很好，所以我不需要再次键入：

大多数密码锁定机制 今天是静态的，这意味着 将用户锁定在某个数字之后 不正确的密码尝试。这 实现该功能是为了防止 对登录进行暴力尝试 功能。即使这样 功能做它应该做的，它 也有自己的缺点。从 从安全角度来看，此功能 可以被坏人滥用来锁上 通过编写 尽可能地编写脚本 a的置换和组合 用户名（主要是字母， 如果不是字母数字），则会导致 拒绝服务

从可用性 从这个角度来看，总有一个 关于企图破坏的次数的辩论 在锁定用户之前允许 账户大多数网站都允许3 一些（很少）允许5次尝试 或者有时是7

Intellipass试图缩小差距 在安全性和可用性之间 此功能的一个方面。储存 用户的每次登录尝试， Intellipass可以智能地 了解用户过去的行为和 据此行动。例如，如果用户 那他每次都把自己锁在外面 Intellipass将动态增加 尝试次数从3次到5次或 从5点到7点。另一方面，如果 用户第一次或第二次登录 每次他或她试图登录时 过去，但由于某种原因 这次尝试了3次， Intellipass将自动减少 尝试次数从7次到5次或 五比三。第二部分 Intellipass正在随机加入 验证码或插入时间延迟 登录尝试阻止 自动攻击

---

我理解您对安全性与可用性的观点，我为您提供了实现静态密码锁定机制的方法，这已成为几乎所有网站的事实标准

解释得很好，所以我不需要再次键入：

大多数密码锁定机制 今天是静态的，这意味着 将用户锁定在某个数字之后 不正确的密码尝试。这 实现该功能是为了防止 对登录进行暴力尝试 功能。即使这样 功能做它应该做的，它 也有自己的缺点。从 从安全角度来看，此功能 可以被坏人滥用来锁上 通过编写 尽可能地编写脚本 a的置换和组合 用户名（主要是字母， 如果不是字母数字），则会导致 拒绝服务

从可用性 从这个角度来看，总有一个 关于企图破坏的次数的辩论 在锁定用户之前允许 账户大多数网站都允许3 一些（很少）允许5次尝试 或者有时是7

Intellipass试图缩小差距 在安全性和可用性之间 此功能的一个方面。储存 用户的每次登录尝试， Intellipass可以智能地 了解用户过去的行为和 据此行动。例如，如果用户 那他每次都把自己锁在外面 Intellipass将动态增加 尝试次数从3次到5次或 从5点到7点。另一方面，如果 用户第一次或第二次登录 每次他或她试图登录时 过去，但由于某种原因 这次尝试了3次， Intellipass将自动减少 尝试次数从7次到5次或 五比三。第二部分 Intellipass正在随机加入 验证码或插入时间延迟 登录尝试阻止 自动攻击

---

这就是我停工的原因。目前，用户可以通过向手机发送一次性密码并使用该密码登录，或者通过发出密码重置，向其电子邮件发送256位加密url，以便在24小时内重置密码，从而绕过锁定。我的问题是，将这些作为锁定的解决办法是否是一种好的做法，锁定在3次尝试失败后持续15分钟。@Josh，我从未见过15分钟的锁定。登录失败3次后，系统要求呼叫并验证您的身份以获得新密码。一个密码的过期时间通常为3分钟。这就是我锁定的时间。目前，用户可以绕过