Security I'；I’我试图廉价地实现双因素身份验证。我该怎么做？

好的，我需要3个中的2个

用户知道的东西。
用户拥有的东西。
用户是什么

我有一个暴露于互联网的系统，我们需要客户端以安全的方式连接，以满足我们的安全标准

我在想，当用户注册使用我们的系统时，我们会向他们发送一个应用程序，让他们安装在自己的家庭系统上。应用程序基于定时随机性算法生成密钥。我们的应用程序服务器有相同的算法，因此当用户使用密钥提交其凭据时，我们知道他们是合法用户

这是一种有效的双因素身份验证方法吗

另一种方法是什么

有什么我应该注意的陷阱吗

---

谢谢你的帮助

是的，这是执行双因素身份验证的有效方法。令牌安全性（计算机上的程序）当然只与计算机一样安全。如果它的窗口正在运行，那么所有的赌注都没有了

您还可以访问RSA或其他供应商，并许可他们的SecurID（或其他品牌）令牌以及必要的中间件。这是一个经过验证的解决方案，而且至少还有其他人要负责

对于基于时间的系统，通常有一个允许的“窗口”，其中令牌有效（超过滚动点），以允许时间偏移。您还可以使用NTP服务器（使用SNTP，易于实现）进行检查，以获得准确的时间信息

---

与所有安全系统一样，存在许多陷阱。他们很难做到正确。被警告。购买保险；）

是的，这是执行双因素身份验证的有效方法。令牌安全性（计算机上的程序）当然只与计算机一样安全。如果它的窗口正在运行，那么所有的赌注都没有了

您还可以访问RSA或其他供应商，并许可他们的SecurID（或其他品牌）令牌以及必要的中间件。这是一个经过验证的解决方案，而且至少还有其他人要负责

对于基于时间的系统，通常有一个允许的“窗口”，其中令牌有效（超过滚动点），以允许时间偏移。您还可以使用NTP服务器（使用SNTP，易于实现）进行检查，以获得准确的时间信息

---

与所有安全系统一样，存在许多陷阱。他们很难做到正确。被警告。购买保险；）

为什么不在登录/密码之外为他们分配证书。

为什么不在登录/密码之外为他们分配证书。

您可以使用X.509客户端证书吗？它们是免费的。

您可以使用X.509客户端证书吗？它们是免费的。

为什么不使用电话验证解决方案从互联网上取消身份验证？这证明了更可靠的身份验证。我听说一家公司的Telesign做过类似的事情，比如屏蔽VOIP号码。你应该查看一下，而且它非常便宜。

为什么不使用电话验证解决方案来取消互联网上的身份验证？这证明了更可靠的身份验证。我听说一家公司的Telesign做过类似的事情，比如屏蔽VOIP号码。你应该去看看，它很便宜。

电脑上的应用程序的“问题”在于它不是别人拥有的东西。这是“任何人”都可以拥有的东西。该应用程序（可能）可以安装、重新安装和复制到任何地方。很快，家用电脑“拥有”了它，办公电脑“拥有”了它，笔记本电脑——他们刚刚丢失的那台——拥有了它，等等

所以，这不是一件奇怪的事情。颁发的证书也是如此

不是说它完全无效，而是说它不是唯一的，这可能是一个潜在的问题

一种流行的“廉价”技术是向手机发送短信。用户登录后，计算机会向注册的电话号码发送一个6位数的短信代码，然后需要输入该号码。显然，这是有问题的。并不是每个人都有手机，很多手机都是收短信费的，但在某些环境下它可以正常工作

类似地，语音响应系统可以通过手机呼叫用户并“读取”代码。当然，这会给公司带来电话费。

电脑上的应用程序的“问题”在于，它不是别人拥有的东西。这是“任何人”都可以拥有的东西。该应用程序（可能）可以安装、重新安装和复制到任何地方。很快，家用电脑“拥有”了它，办公电脑“拥有”了它，笔记本电脑——他们刚刚丢失的那台——拥有了它，等等

所以，这不是一件奇怪的事情。颁发的证书也是如此

不是说它完全无效，而是说它不是唯一的，这可能是一个潜在的问题

一种流行的“廉价”技术是向手机发送短信。用户登录后，计算机会向注册的电话号码发送一个6位数的短信代码，然后需要输入该号码。显然，这是有问题的。并不是每个人都有手机，很多手机都是收短信费的，但在某些环境下它可以正常工作

---

类似地，语音响应系统可以通过手机呼叫用户并“读取”代码。当然，这会给公司带来电话费。

总是可以选择用包含一次性密码列表的纸张替换昂贵的遥控钥匙。您仍然需要滚动自己的后端以匹配密码生成算法（当用户忘记划掉最后一个或划掉过多个密码时，不要忘记为用户提供一种简单的重新同步方法），以及让用户收集更多纸张的管理任务，以防用户在没有任何密码的情况下滞留在现场

史蒂夫·吉布森的系统就是一个例子。