如何保护您的身份验证机制

在本节中，我们将讨论如何防止我们在身份验证机制中讨论过的一些漏洞。

身份验证是一个复杂的话题，正如我们已经证明的那样，不幸的是，对于弱点和缺陷而言，这太容易了。概述您可以采取的所有可能措施来保护自己的网站，这显然是不可能的。beplay体育能用吗但是，您应该始终遵循一些一般原则。

用用户凭据小心

如果您不知不觉地向攻击者披露了一套有效的登录凭据，即使是最强大的身份验证机制也无效。不用说，您绝对不要通过未加密的连接发送任何登录数据。尽管您可能已经为登录请求实施了HTTPS，请确保通过将任何尝试的HTTP请求也将其重定向到HTTPS来执行此操作。

您还应该审核您的网站，以确保没有通过公开访问的配置文件beplay体育能用吗或在HTTP响应中反映的用户名或电子邮件地址。

不要指望用户安全

严格的身份验证措施通常需要您的用户额外的努力。人性使某些用户能够找到节省这种努力的方法几乎不可避免。因此，您需要尽可能执行安全的行为。

最明显的例子是实施有效的密码策略。一些更传统的政策下降了，因为人们将自己的可预测密码纳入政策中。相反，实现某种简单的密码检查器可能会更有效，该密码检查器允许用户尝试密码并实时提供有关其强度的反馈。一个受欢迎的例子是JavaScript库ZXCVBN，是由Dropbox开发的。通过仅允许密码检查器评分高度的密码，您可以比传统策略更有效地强制使用安全密码。

防止用户名列举

如果您揭示了系统中的用户，则攻击者破坏您的身份验证机制要容易得多。甚至在某些情况下，由于网站的性质，特定人拥有帐户的知识本身就是敏感信息。beplay体育能用吗

不管尝试使用的用户名是否有效，使用相同的通用错误消息都很重要，并确保它们确实相同。您应该始终在每个登录请求中返回相同的HTTP状态代码，最后，在不同方案中使响应时间尽可能地不可分割。

实施强大的蛮力保护

鉴于构建蛮力攻击的简单程度是至关重要的，确保您采取措施预防或至少破坏任何违反登录的尝试。

最有效的方法之一是实施严格的，基于IP的用户速率限制。这应涉及防止攻击者操纵其明显的IP地址的措施。理想情况下，您应要求用户在达到一定限制后的每次登录尝试中完成验证码测试。

请记住，这不能保证完全消除蛮力的威胁。但是，使该过程尽可能乏味和手动增加，这增加了任何可能的攻击者放弃并寻求更柔和的目标的可能性。

三重检查您的验证逻辑

正如我们所展示的实验室，简单很容易逻辑缺陷要渗入代码，在经过身份验证的情况下，有可能完全妥协您的网站和用户。beplay体育能用吗彻底审核任何验证或验证逻辑以消除缺陷绝对是可靠身份验证的关键。可以绕过的检查最终比根本没有检查要好得多。

不要忘记补充功能

确保不要仅仅关注中央登录页面，而忽略与身份验证相关的其他功能。在攻击者可以自由注册自己的帐户并探索此功能的情况下，这一点尤其重要。请记住，密码重置或更改与主要登录机构一样有效，因此必须同样强大。

实施适当的多因素身份验证

虽然多因素身份验证可能对每个网站都不是实用的，但是如果正确完成，则比仅基于密码的登录名更安全。beplay体育能用吗请记住，验证同一因素的多个实例不是真正的多因素身份验证。通过电子邮件发送验证代码本质上只是一种更冗长的单因素身份验证形式。

基于SMS的2FA从技术上验证了两个因素（您知道的东西和您拥有的东西）。但是，例如，通过SIM交换进行滥用的潜力意味着该系统可能不可靠。

理想情况下，应使用直接生成验证代码的专用设备或应用程序实现2FA。由于它们是为提供安全性的目的而设计的，因此通常更安全。

最后，就像与主要身份验证逻辑一样，请确保您的2FA检查中的逻辑是合理的，以免轻松绕过它。