1回答
我相信攻击者可以在商店里发布一个专门用来拦截你的2FA短消息的应用程序(例如),并且只需侵入你的账户密码就能在你的设备上强制安装。所以问题是,这是对基于智能手机(而非专用设备)的双因素认证安全的真正威胁,还是我们能够承受的合理风险?
浏览 0提问于2016-06-03得票数 0
回答已采纳
6回答
我试图设计一个使用SMS作为第二种方法的双因素身份验证系统(在PHP上)。这是一个测试项目,所以有人能帮我设计这个服务吗?
这将是一个基于网络的系统,以下是我所做的迄今为止。
浏览 7提问于2011-04-26得票数 8
回答已采纳
2回答
谢谢<?xml version="1.0" encoding="UTF-8"?> xmlns:xsi="http://www.w3.org/2001XMLSchema-instance" xsi:sche
浏览 1提问于2013-04-12得票数 0
回答已采纳
2回答
大家好,我希望你们对一切都很好,包括健康、家庭、金融和其他一切。*迁移ISA 2006防火墙并升级到Microsoft前沿威胁管理网关(TMG)。Active Directory包括这些服务WSUS、DHCP、DNS2x SQL服务器1x ISA Server 20062xExchangeServer 2003迁移到2010年2x文件服务器扩展容量
1x TM
浏览 0提问于2011-10-26得票数 0
回答已采纳
现在各大城市的地铁和公交都能方便的应用乘车码小程序,让我们不用带公交卡都能方便地乘坐公共交通,而且早高峰晚高峰都不卡。
浏览 1438提问于2018-07-30
1回答
我们有一个集中的接口引擎,它将与web服务对话,提供信息补充,并允许向外部系统提交请求。所有这些都是好的和好的,直到我们必须将其与该提供程序所需的安全性集成。它们发出通过智能卡(usb密钥)分发的证书,最终用户必须使用这些证书才能使软件与所述系统( web服务)进行交互。他们坚持(有时是多重的)签名是针对终端用户的usb密钥证书进行的。编辑--编辑--
我们使用CXF中的自定义签名拦截器(从Axis)实现了该解决方案,它将消息内容转发到签名代理,该代理将找到并连接运行在原始请求来自的用户交互会话上的正确签
浏览 4提问于2010-08-09得票数 0
回答已采纳
Android应用出于安全考虑使用细粒度权限,iOS应用程序也是如此。Windows 8.1应用程序没有类似的权限模式,到目前为止,我尝试过的所有Linux版本都没有,我猜Mac也没有,对吗? 10或更高版本的Linux和Mac OS版本会有它们吗?
PS:似乎有些人认为这是为什么移动设备的应用程序比桌面应用更严格呢?的一个可能的重复-但这两个问题至少在角度上不同(开发人员/用户)。如果你读了答案,你也会看到,大多数用户认为这两个问题是不同的:
浏览 0提问于2015-03-13得票数 44
回答已采纳
我一直在研究无令牌(特别是基于短信的)和传统的基于令牌的双因素身份验证(比如RSA SecurID)的各种优缺点。在做了一些研究之后,我想我在可用性、成本等方面对这两个选项有了更好的理解,但我很难找到对每个解决方案的安全性进行深入独立分析的好方法。
据我所知,无令牌2FA更便宜,更易于部署。如果用户有智能手机,这会是一个更好的选择吗?通过短信向智能手机用户部署软令牌是一件轻而易举的事,还是有其他因素需要考虑?( d)与发送和存储在SMS中的单个代码相比,“日使用”代码和单个SMS中的多个代码之类的解决方案是否很大程度上是一
浏览 0提问于2012-05-06得票数 23
回答已采纳
3回答
向客户端发送和显示密码的安全方法
、、、、
我正在后端使用nodejs构建一个密码管理器站点。当用户注册并保存密码时,我会对其进行加密,然后将其存储在数据库中,因此它是安全的。问题是,我需要一种安全的方式从数据库中发送它,并在需要时将其显示给用户。哪种方式是最好的,加密发送给客户端,然后用脚本解密,还是在发送之前在后端解密?https是否足够安全来保护请求和响应?
浏览 0提问于2021-03-24得票数 0
4回答
我有一个桌面应用程序,发送电子邮件,使用远程smtp服务器。所以在代码中我有这样的smth:string pass = "123456";任何人,谁逆转我的应用程序将有权访问我的邮件服务器。我想知道,有什么解决方案可以保护敏感数据(userName、pass)不被撤销吗?而不会混淆。
浏览 0提问于2012-05-09得票数 3
回答已采纳
鉴于基于时间的一次性密码(TOTP)在SMS OTP黑客攻击中的应用日益广泛,基于时间的一次性密码(TOTP)作为身份验证的另一个因素,在用户名/密码之上是否足够安全?添加另一个随机输入有助于进一步保护TOTP吗?
参考: TOTP:基于时间的一次性密码算法- https://tools.ietf.org/html/rfc623
浏览 0提问于2022-01-23得票数 -1
大多数网站使用基于单一因素的认证机制,即密码.然而,一些流行的网站也实现了一种(通常是可选的)双因素登录机制;通常需要使用密码,并响应用户可以从设备上获得的挑战。有几个网站,比如媒体,通过只保留第二个因素,采取了双因素认证的另一种方式。但是,媒体通过向用户注册的电子邮件地址发送链接来实现这一点。
5~6成熟 论辩表示,这种方案非常安全,而且方便用户使用。
浏览 0提问于2016-06-09得票数 7
回答已采纳
5回答
ActiveSync基于证书的身份验证和Active域用户名-密码公用钥匙和私钥问题
如果证书用于反向代理的身份验证,而Outlook使用用户名和密码,这是否被认为是双因素身份验证我在那里找不到任何文件,但我确信人们普遍认为,将AD域名&密码存储在设备上有更多的潜在威胁,而仅仅是一个证书公钥/私钥对。
浏览 0提问于2012-05-15得票数 7
3回答
我目前正在涉猎专家系统、emacs lisp,并在阅读有关人工智能的文章。传统上,人工智能与LISP和带有CLIPS的专家系统联系在一起。然而,我已经注意到在计算科学中使用了多少Python。那么人工智能和机器学习领域呢?它仍然由LISP主导吗?在人工智能中使用了多少python?是否有任何较新的函数式语言,例如clojure,在研究中使用?
浏览 2提问于2010-02-12得票数 4
回答已采纳
现有资源:备用Windows许可证个人的“哑巴”手机(不像石头那么笨,但它不会在不久的将来去麻省理工学院)各种形式的可移动媒体(USB、DVD、闪存驱动器、MicroSD等)Web浏览社交网络个人及工作电话及短信。我打算把我的“每日驾驶”个人笔记本电脑留在家里,如果我能把智能手机拿走的话,我可能会考虑不带智能手机。我希望能够在合理的舒适范围内执行上述活动,同时确保我处理的任何数据(包括我的登录凭据)都是保密的。
浏览 0提问于2011-10-18得票数 7
回答已采纳
我已经开发了一个单页面AngularJS应用程序。对于数据检索/存储,它通过https与REST API通信。根据客户要求,我需要实现客户端身份验证。也就是说,由于应用程序是基于REST API的,我们如何确保对API的请求来自有效的客户端,而不是来自fiddler或优化的客户端。1>在angular应用程序中配置客户端密钥和密钥。3>服务器检查此秘密和密钥,如果验证,则使用新生成的令牌进行响应。
4>来自angularjs app的所有后续请求都将在报头中携带此令牌,以确保请求来自有
浏览 1提问于2015-11-10得票数 1
9回答
您建议的哪些书描述了成功进行渗透测试所需的方法或步骤?
我对普通的安全检查有基本的了解,但如果有更有经验的人来描述整个测试,那就太好了。
浏览 0提问于2011-02-05得票数 43
2回答
但是,我正在开发一个应用程序,在这个应用程序中,我需要为另一个web服务存储用户的登录信息--我需要定期将它们登录并执行一些维护任务。
浏览 0提问于2011-02-24得票数 11
回答已采纳
(我试图得到一个比“使用安装了间谍软件/键盘记录器的计算机的安全方法?”论苏更精确的答案,特别是在多因素认证方面。)
让我们假设我正在使用一台计算机,由于合同/法律/政策的原因,它被广泛监控。为了论证起见,让我们假设屏幕上可见的任何内容和键入的任何内容都被捕获(因此屏幕上的键盘是不安全的)。该策略允许我对受监视的计算机进行一些个人使用,但不能禁用或绕过监视(因此我不能将计算机引导到一个未受监视的环境中),也不能使用我自己的个人计算机。我是否可以使用多因素身份验证或其他方法来安全地对远程服务进行身份验证(例如,对OpenID提供者、电子邮件帐户、ssh等)?所谓“安全”,我指的是不允许访问监视日
浏览 0提问于2011-08-14得票数 15
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
