Security 用户名/密码之外的安全性？

我有一个webapp，它需要比普通web应用程序更高的安全性。当任何用户访问域名时，他们会看到两个文本字段，一个用户名字段和一个密码字段。如果输入有效的用户/通行证，则可以访问web应用程序。标准的东西

然而，我正在寻找这个标准设置之外的额外安全性。理想情况下，这将是一个软件解决方案，但我也对硬件解决方案持开放态度（硬件=遥控钥匙），甚至程序更改（例如，一次性使用密码板上的密码）

webapp的独特之处在于我们提前了解所有用户，我们创建他们的用户名和密码并将其提供给他们。从这个意义上讲，我们可以确信用户名和密码是“强”的

然而，我们的客户要求除此之外的额外安全性。有人对如何为安全性增加另一层复杂性有什么想法吗？

我们公司使用过，我们绝对喜欢它

我们过去也用过

然而，这并不是书中唯一的游戏。我会从谷歌搜索开始“

---

这是另一个好的起点。实际上，OWASP是我寻找任何网络安全问题的第一个地方。

另一个额外安全性的选择是使用一块物理“证据”，如智能卡：

有许多不同的领域可以改进网络应用的安全性。在开始之前，你需要确定你的问题领域可能是什么，以及你想要关注什么

您可以让第三方对您的应用程序进行渗透测试（笔测试）来启动此过程。这应该是一个你可以处理的事情的快速列表，当你成绩合格时，在你的销售资料中可以使用它

接下来，您需要与客户交谈，了解他们所说的“更安全”是什么意思。它仅仅是像David和Mitch提到的那样的双因素身份验证，还是他们更关心诸如运动中的数据（ARP中毒、SSL等）、静止数据（从硬盘加密到数据库加密的所有内容）、授权、模拟（跨站点和重播）、人员（正在对谁有权使用机器进行背景调查）等

---

安全性的概念涵盖了很多方面。

暴雪提供了一个可选的可购买安全令牌，它做同样的事情，即每次登录时动态生成一个一次性密钥。