使用一次性密码解决方案更安全地验证身份

最新推荐文章于 2018-11-25 16:54:26 发布
最新推荐文章于 2018-11-25 16:54:26 发布
阅读量539 收藏
点赞数
分类专栏: B0.▲ C# 文章标签: sql server 测试 破解 服务器 iis web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weishaolin131083/article/details/6326961
版权

MSDN 杂志 > 主页 > 所有期刊 > 2008 > May >  安全性: 使用一次性密码解决方案更安全地验证身份

安全性

使用一次性密码解决方案更安全地验证身份

Dan Griffin

代码下载位置:

使用一次性密码解决方案更安全地验证身份

Dan Griffin

代码下载位置: OTPAuthentication2008_05.exe (496 KB)
Browse the Code Online

本文讨论:

  • 密码存在的问题
  • 生成一次性密码
  • 构建基于 Web 服务的 OTP 解决方案
  • 测试和部署 OTP

本文使用了以下技术:
IIS 7.0、SQL Server

  目录

一次性密码
完整的 OTP 解决方案
测试 OTP 生成器客户端
示例网站
身份验证 Web 服务
完整的体系结构
运行代码示例
部署注意事项
尝试一下

密码的安全和管理是令企业 IT 管理员 非常头疼的一个问题。用户往往创建非常简单的密码,或将其密码写下来以确保他们能够记住这些密码。此外,几乎没有安全有效的程序来重置密码。

既然存在这些限制,如何才能在远程用户访问您的网络时减少此类安全问题呢?由于许多用户都会写下他们的密码,如何才能使公司的密码解决方案更加可靠呢?我将介绍如何使用基于标准的技术以及 C# 和 C 来开发一次性密码 (OTP) 概念验证。但是,我想先大致介绍一下密码替代技术。

有多种方法可用于消除远程用户的标准密码。可使用证书颁发机构来向用户颁发证书,但这需要公钥基础结构 (PKI),并且其设置和维护成本比较昂贵。同时还难于管理远程用户的证书,尤其是使用基于硬件的令牌(如智能卡)时。此类高安全性常常导致高成本。

另外,可使用 RSA 提供的一次性密码解决方案 SecureID。但是,应当注意 SecureID 并非基于标准的技术,因此它可能导致不兼容问题和授权开销。

第三种选择是使用基于标准的 OTP 解决方案。但是,它有些什么类型的一次性密码选项,为什么 OTP 优于传统的密码?我们这就来研究一下。

一次性密码

传统的静态密码通常只在需要时才进行更改:当它过期时或者当用户忘记密码并需要重置时。由于密码缓存在计算机硬盘上并存储在服务器上,因此它们很容易被破解。便携式计算机尤其如此,因为它们容易被盗。

许多企业都为员工配备

weishaolin131083
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一次性口令认证
u013413034的博客
09-02 1897
一次性口令认证原理
OTP一次性动态密码工具实现
chenchongg的博客
01-09 9485
对于企业内部信息安全或行业安全合规性需求,3A认证、授权、审计是必要的基础安全审查项。认证安全机制要求双因素认证,从技术要可使用基于数字证书和OTP来实现满足。 OTP分为两种技术算法HOTP(基于次数 RFC 4226)和TOTP(基于时间 RFC 6238)标准。而目前开源的Google Authenticator工具很好的实现了OTP移动端APP的使用与密钥管理。 为了在企业运维安全加固需求...
在打开vs解决方案时,怎样让所以打开的项目自动折叠
angou6476的博客
05-30 520
使用VS 2010中的扩展性,搜PowerCommands,PowerCommands扩展在Visual Studio 2010中添加了数十个有用的的命令, Collapse Projects(折叠项目) 第二个: Collapse Solution(这个很单纯,只有一个功能) 第三个: 使用ReSharper的Collapse all功能(ReSharper自带) 转载于:...
解决VS重新打开解决方案时不是上一次的状态
breakbridge的博客
11-08 2927
打开解决方案文件夹,显示隐藏文件夹,找到下面文件夹并删除,重新打开后就OK了
HID Global提供多层身份验证和手机银行安全解决方案
01-20
HID Global的ActivID动态密码身份解决方案提供了基于时间的一次性密码(TOTP),这是一种安全且易用的方法。每次登录时,用户都会收到一个随时间变化的一次性密码,该密码只能在规定的时间窗口内使用一次,从而降低...
Ruby-Authlogic一个干净简单的ruby身份验证解决方案
08-15
除了基本的身份验证,Authlogic 支持多因素认证(MFA),如一次性密码(TOTP)或基于硬件的安全密钥。这需要额外的库集成,如 Google Authenticator 或 Yubikey。 **6. OAuth 集成** 对于 OAuth 身份验证,...
使用非防篡改智能卡的基于密码安全远程用户身份验证方案
03-10
2. **防止离线密码猜测攻击**:为了抵御离线密码猜测攻击,新方案可能采用了如一次性口令机制或动态密码技术,确保即使智能卡丢失,攻击者也无法轻易获取到有效密码信息。 3. **抵御拒绝服务攻击**:通过对系统...
OTP 动态口令验证
方小白
11-25 1万+
OTP 动态口令验证。 简介 动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术。 动态口令认证技术包括客户端用于生成口令产生器的动态令牌,是一个硬件设备,和用于管理令牌及口令认证的后台动态口令认证系统组成。 目前在安全强...
web开发(四) 一次性验证码的代码实现
diaojinxun8373的博客
05-01 177
在网上看见一篇不错的文章,写的详细。 以下内容引用那篇博文。转载于《http://www.cnblogs.com/whgk/p/6426072.html》,在此仅供学习参考之用。 其实实现代码的逻辑非常简单,真的超级超级简单。      1、在登录页面上login.jsp将验证码图片使用标签<img src="xxx">将绘制验证码图片...
两步验证杀手锏:Java 接入 Google 身份验证器实战
weixin_30294021的博客
08-22 1016
两步验证 大家应该对两步验证都熟悉吧?如苹果有自带的两步验证策略,防止用户账号密码被盗而锁定手机进行敲诈,这种例子屡见不鲜,所以苹果都建议大家开启两步验证的。 Google 的身份验证器一般也是用于登录进行两步验证,和苹果的两步验证是同样的道理。只不过 Google 的身份验证器用得广泛,如 GitHub 的两步验证都是基于 Google 身份验证器。 Google Authenticato...
java webservice 用户验证 (服务端 + 客户端)
java践行之路的博客
09-22 1335
说明:在网上找了一堆 handler验证的东东,试验了一下,没成功。 现在换了一种方式:在 tomcat的配置文件中添加用户角色和用户信息              然后在 webservice的项目配置文件中增加对应的角色。从而达到 用户验证的目的。 开发环境: MyEclipse 10, Tomcat 7 参考:http://www.fengfly.com/plus/view-21...
远程桌面连接的利器-mRemote介绍
热门推荐
灰太狼的博客
12-30 4万+
还在使用Windows自带的mstsc吗?还在为切换多个远程桌面而痛苦不已吗?想不想换个远程桌面程序呢?如果您的答案是Yes,那么我向您推荐mRemote。至今为止,我用过的最好的远程桌面工具。 它具有如下几个功能:1.摆脱了mstsc那种一个程序一个界面的模式,采用了左边树+右边Tab页的显示形式,让你在一个mRemote界面中,可以连接多个远程桌面,再也不用为切来切去而烦恼了(如上
C1.FlexGrid合并单元格
vdvvsvxvcvcxvx的专栏
04-18 8061
  在WinForm的开发中,经常会用到FlexGrid控件,用于显示数据和编辑数据,合并单元格也是经常用到的。 1.单元格自动合并 C1FlexGrid 一帮情况下对于各单元格可以在行方向和列方向合并单元格,行或者列的AllowMerging的属性设置为True的时候,相邻的单元格内容如果相同,那么就会自动合并这两个单元格。此例为列方向自动合并。 行方向合并时,针对要合并的行进行设置。如 C1FlexGrid1.Rows(rownm).AllowMerging = Tr
AES对称加密算法原理 - guo2777的专栏 - CSDN博客
vdvvsvxvcvcxvx的专栏
04-16 5678
加密它:用新的高级加密标准(AES)保持你的数据安全 原著:James McCaffrey 翻译:小刀人 原文出处:MSDN Magazine November 2003 (Encrypt It) 本文的代码下载:msdnmag200311AES.exe (143KB) 本文假设你熟悉 C# 和 位(bit)操作。 摘要 AES(The Advanced Encryption Standard)是美国国家标准与技术研究所用于加密电子数据的规范。它被预期能成为人们公认的加密包括金
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值