我想添加一个建议我已经使用,基于防御在深度. 你不需要有相同的 auth&auth 系统的管理员和普通用户. 你可以有一个单独的登录表格在一个单独的URL执行单独的代码的请求,这将提供高的特权。

使用 OpenID Connect 或 User-Managed Access。

因为没有什么比不做任何事情更有效。

发送信号

如果客户端和服务器之间的连接不加密,那么你所做的一切都是对人中间攻击的脆弱性。 攻击者可以取代输入的JavaScript来打破黑客或向他们的服务器发送所有认证,他们可以听取客户端的回应,并完美定义用户等。

存储密码

安全问题

Cookies可以被盗:它们仅像客户端的机器和其他通信一样安全。它们可以从磁盘上阅读,在网络流量中切割,通过跨网站编写攻击取消,从中毒的DNS中切割,以便客户端将其Cookies发送到错误的服务器。

金融网站,如银行和信用卡,另一方面,只有敏感数据,不应该允许自动登录或低安全模式。

我想添加一个非常重要的评论: -

“在企业,内网设置”大多数,如果不是所有上述可能不适用!

许多公司只部署“内部使用”网站,这些网站实际上是“企业应用程序”,这些 URL 只能在“公司内部网络”中解决(据称......)。

当用户密切连接到上述网络时,他们的身份(“身份验证”)是“已知”的,如他们的许可(“授权”)做某些事情......如“访问本网站”。

代币的价值对你毫无意义,但是,如果需要出现,“适当的手段存在”通过它,你的网站可以“(权威)问谁知道(LDAP......等)”关于任何(!)问题,你可能有。

我称之为Dummy Field(虽然我没有发明这个,所以不要相信我)。

<input type="text" name="email" style="display:none" />

例子:

在人类的情况下:用户不会看到字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母字母

我在客簿上使用了这个方法与CAPTCHA相结合,从那时起我没有看到任何垃圾邮件。我以前只使用了一种CAPTCHA解决方案,但最终,每小时约有五个垃圾邮件。

我相信这也可以用得很好的登录/验证表格。

你也可以稍微改變這一點,讓愚蠢的領域可見,但在屏幕邊界之外,但這完全取決於你。

基本上,在登录时唯一的实用方法是使用 HTTPS 或其他基于证书的加密系统(例如 TLS)或经过验证和测试的挑战响应系统(例如,基于 Diffie-Hellman 的 SRP)。

CAPTCHAS 反对人类

知道CAPTCHA的实施不是相同的;它们往往不是人可解决的,其中大多数实际上是对机器人无效的,所有这些都是对廉价第三世界劳动无效的(根据OWASP,目前的饮料价格为每500美元),一些实施可能在某些国家是技术上非法的(参见OWASP认证骗局)。

一旦服务器已验证登录和密码对您的用户数据库并发现匹配,系统需要一种方式来记住,浏览器已验证。

第三部分:使用秘密问题

第四部分:忘记密码功能

第七部分:分布式残酷力量攻击