2008-10-28 19 views
18

मैं Shibboleth का उपयोग कर एक एकल साइन-ऑन लॉगिन पेज पर काम कर रहा हूं जिसका उपयोग विभिन्न प्रकार के वेब अनुप्रयोगों के लिए किया जाएगा। स्पष्ट रूप से हम फ़िशिंग घोटालों के प्रभाव को सीमित करते समय इस पृष्ठ को यथासंभव सुरक्षित और प्रयोग योग्य बनाना चाहते हैं।लॉगिन पृष्ठों के लिए सर्वोत्तम अभ्यास?

लॉगिन पृष्ठ को डिज़ाइन करते समय ध्यान में रखने के लिए सर्वोत्तम प्रथाओं क्या हैं?

कुछ सवाल है कि इस समस्या के ऊपर आ गए हैं:

  • यह प्रवेश पृष्ठ हमेशा हर प्रदर्शन पर एक ही देखने के लिए के लिए महत्वपूर्ण है?
  • इसके विपरीत, क्या लॉगिन पृष्ठ के लिए यादृच्छिक डिज़ाइन होना फायदेमंद होगा?
  • क्या लॉगिन पृष्ठ के लिए यह आपके अन्य सभी पृष्ठों के समान दिखना बेहतर है या क्या इसका अपना अनूठा डिज़ाइन होना चाहिए?
  • यदि लॉगिन पृष्ठ का अपना अनूठा डिज़ाइन है, तो इसे अपनी साइट के डिज़ाइन (जैसे वैश्विक नेविगेशन) से अन्य निरंतर तत्वों को शामिल करना चाहिए?
  • क्या लॉगिन पृष्ठ उपयोगकर्ता को अतिरिक्त सामग्री (जैसे नवीनतम समाचार) प्रदान करने के लिए उपयुक्त स्थान है?
  • क्या कोई अतिरिक्त सुरक्षा सुविधाएं हैं जिन्हें लोगों को सुरक्षित रखने में मदद के लिए शामिल किया जाना चाहिए?
+2

सिर्फ एक व्यक्तिगत राय नहीं, बल्कि वास्तविक उत्तर है ... लेकिन मुझे उन लॉगिन फॉर्मों (पृष्ठों नहीं) पसंद हैं जो केवल पृष्ठ के केंद्र में दिखाई देते हैं और जब आप अपना उपयोगकर्ता नाम और पासवर्ड टाइप करते हैं तो आप कभी भी बिना लॉग इन होते हैं वर्तमान पृष्ठ छोड़कर! –

उत्तर

21

प्रयोज्य नोट:

व्यक्तिगत तौर पर मैं नफरत जब साइटों डाल "पासवर्ड भूल गया" या "उपयोगकर्ता नाम भूल" या पासवर्ड क्षेत्र inbetween "सहायता" लिंक, और लॉग इन बटन। कीबोर्ड उपयोगकर्ता के रूप में, सबमिट बटन पर जाने के लिए मुझे उन पर टैब्स नहीं करना चाहिए।

अभी तक बेहतर है, पासवर्ड फ़ील्ड पर एंटर कीप्रेस भी कैप्चर करें ताकि मैं एंटर कुंजी के साथ ऑटो-सबमिट कर सकूं।

7

आपके लॉगिन पेज में एक ही डिज़ाइन को रखने से आपके उपयोगकर्ताओं को यह पता चलेगा कि वे आपके पृष्ठ पर लॉग इन करने का प्रयास कर रहे हैं यदि डिज़ाइन में परिवर्तन यादृच्छिक रूप से उपयोगकर्ता सोच सकता है कि साइट स्थानांतरित हो गई है, या वे पिंगिंग के शिकार हैं। तो मैं आपके कंटेंट पेज

5

एक अन्य "नो डुह" चीज जिसे मैं अभी भी बहुत से अनुप्रयोगों पर देखता हूं, यदि मैं निर्दिष्ट प्रमाण पत्र अमान्य हैं, तो यह इंगित न करें कि कौन सा है अवैध। बस "अमान्य पासवर्ड" के बजाय "अमान्य उपयोगकर्ता/पासवर्ड संयोजन" जैसे कुछ कहें जो उन लोगों को सामाजिक इंजीनियरिंग से रोक देगा ताकि आपकी साइट तक पहुंचने वाले उपयोगकर्ता आधार को जान सकें।

1

आने वाली परिस्थितियों के लिए उपयोगी युक्ति: आप पासवर्ड फ़ील्ड में autocomplete = "off" जोड़कर क्लाइंट-साइड पासवर्ड सहेज सकते हैं।

कि सभी ब्राउज़रों पर काम नहीं करता है (यदि मुझे याद है, आईई 6 + और Firefox 3+)

+0

उन साइटों के लिए जो मुझे पासवर्ड सहेजने नहीं देते हैं मेरे पास मेरे पासवर्ड वाले एक अच्छी सादा पाठ फ़ाइल है। यह सुविधा किसी कारण से है, मुझे इसका इस्तेमाल करने का फैसला करने दें या नहीं, इसे बंद कर दें क्योंकि आप कर सकते हैं। – tloach

+1

आप अपने उपयोगकर्ताओं को अपने कुछ पासवर्ड को क्लीयरटेक्स्ट में सहेजने के साथ भरोसा नहीं करना चाहते हैं (जैसा कि मैं अपने पासवर्ड को कुशलता से संग्रहित करने वाली कुछ कंपनियों पर भरोसा नहीं करता) :) – Luk

3

include application level dos prevention

प्रवेश विफलताएं साथ गैर विशिष्ट रहें। "अज्ञात उपयोगकर्ता नाम" के बजाय एक सामान्य "लॉगिन विफल"।

कैप्चा या अन्य ट्यूरिंग परीक्षण का उपयोग करें।

0

यह समझें कि आपका उपयोगकर्ता आम तौर पर उस पृष्ठ पर सभी 10 सेकंड खर्च करने जा रहा है, यह वास्तव में कोई फर्क नहीं पड़ता कि यह कितना समय लगता है क्योंकि यह स्पष्ट है कि आपका उपयोगकर्ता आईडी और पासवर्ड कहां रखा जाए। इसके अलावा, उन साइटों में से एक न हों जो मुझे भूल जाते हैं तो मुझे अपना पासवर्ड ईमेल करने की पेशकश करता है। कम से कम मुझे विश्वास है कि यह कहीं भी एक अच्छा नमकीन हैश में छिपा हुआ है जहां आप इसे कभी भी पुनर्प्राप्त नहीं कर सकते हैं।

6

कोई फर्क नहीं पड़ता कि आप क्या डिजाइन करते हैं, एक फिशर इसका अनुकरण करने में सक्षम होगा। फ़िशिंग को पूरी तरह से रोकना एक मुश्किल समस्या है। आपको अनिवार्य रूप से से पहले लॉग इन करने से पहले आपके उपयोगकर्ताओं को पहचानने के कुछ साधन होंगे। कुछ बैंक अब यह करते हैं।आप अपना नाम दर्ज करते हैं, और फिर वे आपको एक छवि दिखाते हैं जिसे आपने स्वयं चुना है, और फिर, एक बार जब आप निश्चित हैं कि यह वही छवि है, तो आप अपना पासवर्ड दर्ज करें। यह आपकी साइट की आवश्यकता के मुकाबले जटिलता का एक बड़ा स्तर हो सकता है।

तकनीकी पक्ष पर, बैंक ऑफ अमेरिका पासमार्क नामक एक फ्लैश स्थानीय साझा ऑब्जेक्ट का उपयोग कर इसे पूरा करता है। आपका ब्राउज़र चुपचाप इस डेटा को बैंक को पहचानने के लिए भेजता है। यदि आप एलएसओ हटाते हैं, तो आपको अपनी छवि नहीं दिखाई देगी क्योंकि बोफा आपको पहचान नहीं सकता है। यहां तक ​​कि यह अभी भी मध्य-बीच के हमलों के लिए कमजोर है।

3

नो-ब्रेनर जैसा लगता है, लेकिन ऐप को इसकी आवश्यकता होने पर HTTPS का उपयोग करें। बिल्ली, भले ही यह वारंट नहीं करता है क्योंकि लोग एक ही पासवर्ड का पुन: उपयोग करते हैं। आप इन दिनों एक एसएसएल प्रमाण सस्ता प्राप्त कर सकते हैं। अगर वे आपकी साइट से पासवर्ड उठाते हैं तो वे इसे कहीं और कोशिश कर सकते हैं। यहां तक ​​कि कई बैंकों के पास सुरक्षित लाइन पर लॉगिन पेज नहीं है। यह एक HTTPS पृष्ठ पर पोस्ट करता है, लेकिन मध्य प्रकार के हमले में एक आदमी की अभी भी कोई सुरक्षा नहीं है।

मैं Omniwombat से सहमत हूं। फ़िशिंग पूरी तरह से हल करने के लिए अच्छी तरह से और असंभव असंभव हल करने के लिए एक कठिन समस्या है।

+1

HTTP एक स्टेटलेस प्रोटोकॉल है। यदि किसी फॉर्म को किसी सुरक्षित पृष्ठ पर पोस्ट किया गया है, तो डेटा एसएसएल पर जाता है और यह मैन-इन-द-बीच के अधीन नहीं है। एक "सुरक्षित" लॉगिन पृष्ठ होने का मतलब सुरक्षित कनेक्शन पर पुनर्प्राप्त होने से कहीं अधिक कुछ नहीं है, और केवल आपको सुरक्षा की झूठी भावना में डाल देता है। – Duncan

1

फ़िशिंग को रोकने के प्रयास में मैंने अब तक देखा है सबसे अच्छा बैंक का लॉगिन इंटरफ़ेस है। लॉगिन 3 भागों में किया जाता है, पहले उपयोगकर्ता अपना खाता नंबर (डेबिट कार्ड नंबर, क्रेडिट कार्ड नंबर ...) में प्रवेश करता है, दूसरा चरण उपयोगकर्ता द्वारा निर्दिष्ट 3 में से 1 प्रश्न यादृच्छिक रूप से सूचीबद्ध करेगा (उदाहरण: आप किस हाईस्कूल में भाग लेते थे ग्रेड 10 के लिए), अंतिम भाग, यदि पहले दो सफल होते हैं तो नीचे दिए गए पासवर्ड फ़ील्ड के साथ साइन अप पर उपयोगकर्ता द्वारा निर्दिष्ट छवि और कुछ टेक्स्ट प्रदर्शित करना होता है।

0

@Joe Lencioni, और बाकी सब Shibboleth

आपकी साइट पृष्ठों में रुचि समग्र एक ही नजर है और प्रत्येक पृष्ठ पर महसूस करना चाहिए।

शिबबोलेथ और एसएसओ के संबंध में। यह ध्यान रखना महत्वपूर्ण है कि आपका संगठन किस भूमिका से जुड़ा हुआ है। क्या आप एक पहचान प्रदाता हैं - आईडीपी (उपयोगकर्ता को प्रमाणित करना और फिर एसपी को प्रतिक्रिया भेजना), या आप सेवा प्रदाता - एसपी हैं (जो आईडीपी द्वारा भेजे गए प्रतिक्रिया और विशेषताओं के आधार पर प्रमाणीकरण प्रदान करेंगे।

यदि आप एक एसपी हैं, आपके पास लॉग इन करने के लिए आपके उपयोगकर्ताओं को एक आईडीपी में जोड़ने की इच्छा रखने की कोई लचीलापन है। कई एसपी अपना स्वयं का WAYF (आप कहां से हैं) पृष्ठ बनाते हैं जो उपयोगकर्ता को आईडीपी के लॉगिन पेज पर रीडायरेक्ट करेगा।

आप एक IdP हैं, तो आप तो वे प्रवेश कर सकते हैं और उसके बाद करने के लिए विशेषताओं है कि उचित पहुँच प्रदान करने के लिए सपा की जरूरत है साथ सपा पुनः निर्देशित किया एक प्रवेश पृष्ठ है कि उपयोगकर्ता के लिए परिचित लग रहा है होना चाहिए।

जहां तक ​​फ़िशिंग घोटाले जाते हैं, शिबबोलेथ मेटाडेटा चालू रखना महत्वपूर्ण है। मेरा मानना ​​है कि कई संघों ने प्रत्येक (1) घंटे मेटाडेटा डाउनलोड करने की सिफारिश की है।

कई Shibboleth सवालों के जवाब यहां जा सकता है: https://spaces.internet2.edu/display/SHIB2/Home

आशा इस तुम बाहर में मदद करता है।

2

उपयोगकर्ता के साथ-साथ सुरक्षा गार्ड की तरह सोचें: यदि आप लॉगिन करने के लिए हर बार एक कैप्चा करते हैं, तो वे इसके बारे में काफी बीमार होने जा रहे हैं।

यदि आप सेवा अस्वीकार करने की कोशिश कर रहे हैं, तो हो सकता है कि एक निश्चित समय अवधि में पर्याप्त (असफल?) लॉगिन प्रयासों के बाद ही कैप्चा दिखाई दे।

अधिकांश उपयोगकर्ताओं के लिए जितना संभव हो सके लॉगिन करने के लिए एनटीएलएम, ओपनआईडी, या शिबोबोलेथ का उपयोग करने पर विचार करें।

लोगों को पंजीकरण के लिए एक अलग पृष्ठ पर न जाने दें। संभवतः आपके पास उपयोगकर्ता नाम और पासवर्ड फ़ील्ड होंगे, और लॉगिन/सबमिट बटन होगा। बस "नए उपयोगकर्ता के रूप में पंजीकृत करें" बटन भी जोड़ें, ताकि नए उपयोगकर्ता मौजूदा उपयोगकर्ता नाम/पासवर्ड फ़ील्ड का उपयोग कर सकें। यदि आपको नए उपयोगकर्ताओं के लिए अतिरिक्त विवरण एकत्र करने की आवश्यकता है, तो उन्हें एकत्र करने के लिए एक फॉर्म पॉपअप करें (डीएचटीएम का उपयोग करके, पॉपअप विंडो नहीं)।

संबंधित मुद्दे