Рекомендации для страниц входа?

Question

Я работаю над единственной регистрационной страницей входа с использованием Shibboleth, которая будет использоваться для различных веб-приложений. Очевидно, мы хотели бы сделать эту страницу максимально безопасной и полезной, ограничивая при этом последствия фишинговых атак.

Каковы лучшие практики, которые следует учитывать при проектировании страницы входа?

Некоторые вопросы, которые возникли вокруг этого вопроса:

• Важна для страницы входа, чтобы всегда выглядеть одинаково на каждом дисплее?
• И наоборот, было бы полезно, чтобы страница входа в систему имела случайный дизайн?
• Лучше ли для страницы входа выглядеть так же, как и на всех ваших других страницах, или если у нее есть свой уникальный дизайн?
• Если страница входа имеет свой собственный уникальный дизайн, должна ли она включать другие постоянные элементы из дизайна вашего сайта (например, глобальная навигация)?
• Является ли страница входа подходящим местом для предоставления пользователю дополнительного контента (например, последние новости)?
• Есть ли какие-либо дополнительные функции безопасности, которые должны быть включены, чтобы помочь людям оставаться в безопасности?

Answer 1

Юзабилить отмечает:

Лично я ненавижу когда сайты положить «забыли пароль» или «забыли имя пользователя» или «помощь» ссылка Inbetween поля пароля и кнопка Логина. Как пользователь клавиатуры, я не должен был бы TAB над ними, чтобы добраться до кнопки отправки.

Еще лучше, также захватите нажатие Enter в поле пароля, чтобы я мог автоматически отправить с помощью клавиши Enter.

Answer 2

Сохраняя тот же дизайн на странице входа в систему, вы узнаете своих пользователей, что они пытаются войти на вашу страницу, если при изменении дизайна случайным образом пользователь может подумать, что сайт был перемещен или они становятся жертвами рассылки. поэтому я бы рекомендовал придерживаться тех же рекомендаций, что и ваши страницы с содержанием.

Answer 3

Еще одна вещь «нет духа», которую я все еще вижу во многих приложениях, к которой я обращаюсь, если указанные учетные данные недействительны, не указывайте, какой из них инвалид. Просто скажите что-то вроде «недействительной комбинации пользователей и паролей» вместо «недопустимый пароль», который запретит этим людям из социальной инженерии знать пользовательскую базу, обращающуюся на ваш сайт.

Answer 4

Полезный совет для возникновения обстоятельств: Вы можете отключить сохранение пароля на стороне клиента, добавив autocomplete = "off" в поле пароля.

Это не работает на всех браузерах (если я помню, IE 6+ и Firefox 3+)

Answer 5

include application level dos prevention

быть неспецифическим с неудачных попыток входа. Генерированный «Login failed» вместо «Неизвестное имя пользователя».

Используйте пробную или пробную проверку.

Answer 6

Поймите, что ваш пользователь будет тратить все 10 секунд на этой странице в целом, на самом деле не имеет значения, на что это похоже, пока очевидно, где указать свой идентификатор пользователя и пароль. Помимо этого просто не один из тех сайтов, которые предлагают отправить мне мой пароль, если я его забуду. По крайней мере, позвольте мне поверить, что он скрыт в хорошем соленым хешем где-то, где вы не можете его восстановить.

Answer 7

Независимо от того, что вы создаете, Phisher сможет имитировать его. Предотвращение фишинга - это сложная проблема. Вам, по существу, придется иметь некоторые способы идентификации ваших пользователей до, в которые они входят. Некоторые банки делают это сейчас.Вы вводите свое имя, а затем показываете свое изображение, которое вы сами выбрали, а затем, когда вы уверены, что это одно и то же изображение, вы вводите свой пароль. Это может быть сложнее, чем того требует ваш сайт.

С технической стороны Bank Of America выполняет это с использованием локального общего объекта Flash, называемого PassMark. Ваш браузер молча отправляет эти данные, идентифицируя себя в Банке. Если вы удалите LSO, вам не будет показан ваш образ, потому что BofA не сможет идентифицировать вас. Даже это все еще уязвимо для нападений «человек в середине».

Answer 8

Кажется, что это не проблема, но используйте HTTPS, если это требует приложение. Heck, даже если это не оправдывает этого, потому что люди склонны повторно использовать одни и те же пароли. В наши дни вы можете получить сертификат SSL. Если они снимут пароль с вашего сайта, они могут попробовать его в другом месте. Даже у многих банков нет страницы входа в безопасную линию. Он отправляется на страницу HTTPS, но защита среднего типа по-прежнему не защищена.

Я согласен с Omniwombat. Фишинг - это трудная проблема, которая хорошо решается и, по-видимому, невозможно ее полностью решить.

Answer 9

Лучшее, что я видел до сих пор в попытке остановить фишинг, - это интерфейс входа в систему банка. Вход в систему выполняется в 3 частях, сначала пользователь вводит номер своей учетной записи (номер дебетовой карты, номер кредитной карты ...), второй шаг будет случайным образом отображать 1 из 3 вопросов, заданных пользователем (например: какая средняя школа посещала для класса 10), последняя часть, если первые две успешны, отображает изображение и некоторый текст, указанный пользователем при регистрации, при этом поле пароля ниже.

Answer 10

@Joe Ленсиони, а все остальные заинтересованы в Шибболет

страницы сайта должны иметь общий же внешний вид и на каждой странице.

Относительно Шибболета и SSO. Важно отметить, с какой ролью связана ваша организация. Являетесь ли вы провайдером идентификации - IdP (аутентификация пользователя и затем отправкой ответа на SP), или вы являетесь поставщиком услуг - SP (который предоставит аутентификацию на основе ответа и атрибутов, отправленных IdP.

вы SP, у вас есть какая бы гибкость, вы хотите связать своих пользователей с IdP для входа в систему. Многие SP создают свою собственную страницу WAYF (Where Are You From), которая перенаправляет пользователя на страницу входа в систему IdP.

Если вы IdP, вы должны иметь страницу входа в систему, которая выглядит знакомым пользователю, чтобы они могли войти в систему, а затем будет перенаправлен на СП с атрибутами, которые необходимы для СП для предоставления надлежащего доступа.

Что касается фишинговых атак, важно сохранить текущие метаданные Shibboleth. Я считаю, что многие федерации рекомендуют скачивать метаданные каждый (1) час.

Многих Шибболеты вопросов можно ответить здесь: https://spaces.internet2.edu/display/SHIB2/Home

Надеется, что это помогает вам.

Answer 11

Smashing Magazine имеет довольно полную информацию о формах регистрации. Web Form Design Patterns: Sign-Up Forms

Answer 12

Подумайте, как пользователь, а также охранник: если вы заставляете их делать переписку каждый раз, когда вы входите в систему, им будет очень больно.

Если вы пытаетесь предотвратить отказ в обслуживании, то, возможно, сделать captcha появится только после того, как в течение определенного периода времени будет достаточно попыток входа в систему (неудачно?).

Рассмотрите возможность использования NTLM, OpenID или Shibboleth, чтобы сделать логин максимально автоматическим для большинства пользователей.

Не заставляйте людей заходить на отдельную страницу для регистрации. Предположительно, у вас будут поля имени пользователя и пароля, а также кнопка входа/отправки. Просто добавьте кнопку «зарегистрироваться как новый пользователь», чтобы новые пользователи могли использовать существующие поля имени пользователя и пароля. Если вам нужно собрать дополнительные данные для новых пользователей, вытащите форму (используя DHTML, а не всплывающее окно), чтобы собрать их.