锁定策略和一次性密码

Question

我使用 RFC 4226 为我的网站实现了一次性密码系统。该密码通过短信发送到移动设备。用户只能在移动设备上接收密码，密码将在 15 分钟后过期。

用户还拥有通常使用的标准字母数字“主密码”。我已经实施了 3 次故障锁定工作流程。此锁定持续 15 分钟。

我的问题是，从安全角度来看，仅锁定“主密码”是否可以接受？如果用户使用一次性密码功能，我是否应该允许他们绕过锁定策略？我是否打开了任何类型的安全漏洞？

Answer 1

我理解您对安全性与可用性的观点，我为您提供静态密码锁定机制，该机制已成为几乎每个网站的事实上的标准。

这里解释得很好，所以我不需要再次输入：

大部分密码锁定机制
今天是静态的，这意味着，他们
达到一定数量后锁定用户
错误密码尝试次数。这
实现该功能是为了防止
暴力尝试登录
功能。尽管这
功能做了它应该做的事情，它
也有自己的缺点。来自一个
从安全的角度来看，这个功能
可以被坏人滥用来锁定
大多数或所有用户通过编写
具有所有可能的脚本
的排列和组合
用户名（主要是字母，
如果不是字母数字），结果是
拒绝服务。

从可用性来看
的观点，总有一个
关于尝试次数的争论
在锁定用户之前被允许
帐户。大多数网站允许 3
尝试，而有些（极少数）允许 5
有时是 7 个。

Intellipass 试图弥合差距
在安全性和可用性之间
此功能的一个方面。通过存储
用户的每次登录尝试，
Intellipass可以智能地
了解用户过去的行为并
采取相应行动。对于前。如果一个用户
每次都把自己锁在门外，然后
Intellipass会动态增加
尝试次数从 3 到 5 或
从 5 到 7。另一方面，如果
用户第一次或第二次登录
每次他或她尝试登录时
过去，但由于某种原因
这次尝试了3次，
Intellipass会自动减少
尝试次数从 7 到 5 或
5至3.第二个组成部分
Intellipass 正在随机抛出
验证码或在之间插入时间延迟
登录尝试阻止
自动攻击。

Answer 2

这并不完全是您问题的答案，但是在构建这样的系统时，您必须记住，每次两个对接时，可用性都会胜过安全性。对最终用户制定的安全策略越严格，他们就越有动力想出不安全的解决方法来完成工作。

施奈尔说的比我在这里总结的要好，我'我建议在那里阅读他的东西。