密码管理：你的密码安全吗？(2)

如果必须仅使用密码进行身份验证，用户则还必须采取某种类型的设备身份验证。这可能涉及设备/浏览器指纹识别，检测用户是否从不寻常的IP地址登录，或类似的方式。

结论

如您所见，处理用户密码时需要考虑很多事项。我们还没有谈到密码轮换策略、帐户锁定、帐户恢复、速率限制，防止反向暴力攻击等等。

有一个很重要的问题需要考虑：您是否可以将用户身份验证转给其他人?如果你是一家金融机构，答案可能是否定的;如果您要把最新的猫咪宠物视频给别人看，在此之前需要验证，那这种情况下答案应该是可以的;如果您正在开发面向企业员工内部使用的应用程序，请考虑基于SAML的身份验证或LDAP集成;如果您正在开发面向公众的应用程序，请考虑使用社交登录(即使用Google，Facebook等登录)。许多社交网站已经投入大量精力来保护其身份验证机制，并为用户提供各种身份验证选项。您不需要全盘重来。

在不必要的情况下实施用户身份验证会给企业和用户都带来麻烦，甚至有潜在危险。创建安全的用户验证机制困难且耗时。可您是真的想要处理被盗用的密码数据库，还是攻击者在身份验证机制中发现漏洞?而且用户有更重要的事情要做，而不是记住另一个密码!

作者：新思科技软件质量与安全部门管理顾问Olli Jarva

（编辑：ASP站长网）