Security 除了使用用户密码登录之外，还有其他安全措施-你能想到什么？

我想知道除了使用传统的用户和密码登录外，还可以采取哪些额外的安全措施

你觉得这个怎么样：

_手动向每个客户端添加包含密钥的cookie

_此cookie不是由Web服务器提供的，它实际上是“手动”复制到每个客户端计算机上的

_如果客户端连接到web应用程序，服务器会记录该cookie，并且如果包含的密钥正常，则会显示传统的登录框，用户必须在其中输入用户密码组合

_客户端和服务器之间的通信使用https加密

因此，潜在入侵者首先需要从客户端计算机获取cookie，这只有在访问客户端计算机时才可能实现

---

这只适用于非常小的用户群，并且管理员愿意做这项手工工作。

不用麻烦了。你让你的生活变得困难，而不是让恶意用户的生活变得更困难。而且，你让用户体验很糟糕，因为如果他们清除cookie怎么办？如果有人不锁电脑，他们会在一次恶意攻击中绕过你的整个想法

坚持使用通用的经验证的身份验证。不要做你自己的，因为问题已经被发现，并且已经用你还没有想到的其他身份验证方法解决了

---

如果这是一个用户群很小的内部网（根据您的评论，我假设只有一个管理员），那么就使用Windows身份验证（或者类似的方法，如果不使用Windows的话）？

不用麻烦了。你让你的生活变得困难，而不是让恶意用户的生活变得更困难。而且，你让用户体验很糟糕，因为如果他们清除cookie怎么办？如果有人不锁电脑，他们会在一次恶意攻击中绕过你的整个想法

坚持使用通用的经验证的身份验证。不要做你自己的，因为问题已经被发现，并且已经用你还没有想到的其他身份验证方法解决了

---

如果这是一个用户群很小的内部网（根据您的评论，我假设只有一个管理员），那么您应该使用Windows身份验证（或者类似的方法，如果不使用Windows的话）？

听起来您需要双因素身份验证。查看SecureId或其他一些方法，例如使用带有一次性密码的手机。

听起来您需要双重身份验证。查看SecureId或其他一些方法，例如使用一次性密码的手机。

您是否考虑过询问其他信息

例如，某些网上银行需要您的电子邮件地址、在中打开的状态帐户、密码，并且您必须验证登录时显示的图片是否是您在设置此帐户时选择的图片。如果系统无法识别此计算机/IP地址（通过Cookie），您还必须表示允许继续转发

---

如果你“忘记密码”，你必须从随机的安全问题库中回答。

你考虑过询问其他信息吗

例如，某些网上银行需要您的电子邮件地址、在中打开的状态帐户、密码，并且您必须验证登录时显示的图片是否是您在设置此帐户时选择的图片。如果系统无法识别此计算机/IP地址（通过Cookie），您还必须表示允许继续转发

---

如果你“忘记密码”，你必须从一堆随机的安全问题中回答。

你可以使用HTTPS手动分发证书，但这有点麻烦。另一种选择是使用“securid令牌”机制，但同样令人痛苦

---

您可以使用HTTPS并手动分发证书，但这有点麻烦。另一种选择是使用“securid令牌”机制，但同样令人痛苦

---

在我们评论您的具体方案之前，您能告诉我们您正在试图解决什么问题吗？也就是说，传统登录在什么方面是不安全的？例如，您是从组织内部还是外部查看攻击向量？他们是通过黑客还是社会工程？等等。传统登录并不是不安全的，我只是在考虑另一层安全性。我正在寻找公司以外的攻击者，他们更关注黑客，而不是使用社会工程的入侵者。在我们评论您的具体方案之前，您能告诉我们您试图解决的问题吗？也就是说，传统登录在什么方面是不安全的？例如，您是从组织内部还是外部查看攻击向量？他们是通过黑客还是社会工程？等等。传统登录并不是不安全的，我只是在考虑另一层安全性。我正在寻找公司以外的攻击者，他们更关注黑客，而不是使用社会工程的入侵者。实际上，这个概念是一个内部网，但该应用程序托管在一个公开的网络主机上。所以我有点担心安全问题。是的，只有一个管理员。@Tom-我肯定会看看Windows（或类似的）身份验证，最好是将其链接到域身份验证。对于一个想成为黑客的人来说，这应该比简单地玩饼干要困难得多。他们甚至无法在没有身份验证的情况下访问该网站，更不用说登录屏幕了。另外，检查您的Office IP范围（如果可能的话），这也可以解决问题。当然，最好是在内部网中运行，呵呵。。是的，我知道。内联网就好了。但目前还没有内部网；-）从未处理过域和windows身份验证。六羟甲基三聚氰胺六甲醚。。我来看看。实际上这个概念是一个内部网，但是这个应用程序是在一个公开的网络主机上运行的。所以我有点担心安全问题。是的，只有一个管理员。@Tom-我肯定会看看Windows（或类似的）身份验证，而lin会更好