iT邦幫忙

0

網頁登入者驗證功能

我想製作一個使用者認證功能,一般都會有"使用者名稱" & "使用者密碼"
但因為這如果被知道的話,其他人就有辦法透過其他裝置進入
所以我在想是否有可以認證該登入裝置都某一項固定序號後,(例如:CPU ID,HDD ID或網卡ID等),才能進入登入者畫面(當然裝置被偷就另當別論)
我希望在任何裝置都能使用,手機、平板、電腦等都可以使用,所以此認證功能是要通用的

希望有大大能提供我方案,謝謝!!

看更多先前的討論...收起先前的討論...
weiclin iT邦高手 4 級 ‧ 2017-01-17 15:41:20 檢舉
我可不希望我上的網頁會去讀取這些東西喔...
souda iT邦研究生 3 級 ‧ 2017-01-17 16:32:35 檢舉
你可以透過讀卡機來做身分驗證.(RFID/USB dongle)
newkevin iT邦高手 1 級 ‧ 2017-01-17 23:06:33 檢舉
印象中 好像有報導說 進VM 還是怎樣忘了
就可以完全仿出你要的那些資訊
至於詳細或是否正確 請找白帽...等駭客相關網頁
另印象中 白牌網卡 也有風聲 有相同ID序號的
frank98xp iT邦新手 4 級 ‧ 2017-01-18 00:41:51 檢舉
建議你還是在網頁驗證實作** 密碼最大重試次數 **
例:** 10分鐘內連續錯誤超過3次以上 **就鎖住
先把暴力破解的方式擋住吧!

再搭配**解鎖功能**,設置解鎖問題

或是像google的** 兩步驟驗證 **

至於想從網頁抓取client端硬體資訊,
http協定可沒說會提供這些東西喔(ip倒還可以)...
除非是外掛/找到電腦漏洞/你是能改寫整個網路架構的超級大頭
5
raytracy
iT邦大神 1 級 ‧ 2017-01-17 16:53:37

如果你只是怕帳密被盜的話, 有個東西叫做: 雙因認證.....
實作出來的產品叫 OTP, MOTP, Google Authenticator....等等

如果你是要綁定指定的裝置設備的話, 有個東西叫做 802.1x....

已經有輪子了, 就不需要自己再去發明一次....

lichang iT邦新手 5 級 ‧ 2017-01-18 01:18:51 檢舉

謝謝大神回覆,不過我上網查了一下OTP,大部分只有提到現在有哪些網站有用到OTP,請問有現成可以結合到自己網站的OTP服務嗎?不然還要自己寫,可能能力不足

newkevin iT邦高手 1 級 ‧ 2017-01-18 11:28:55 檢舉

""OTP 廠商 "" 關鍵字 剛看有一堆 可以了解一下

2
海綿寶寶
iT邦超人 1 級 ‧ 2017-01-17 22:26:36

參考OTP

誠心奉勸你
不要再想抓什麼硬體資訊了
這世上
大概只有那些三個字母的組織辦得到
/images/emoticon/emoticon77.gif

1
wwx
iT邦好手 1 級 ‧ 2017-01-18 09:25:34

要符合所說

裝置被偷就另當別論

那也可以參考Line或WeChat都有QRCODE的登入方式也不錯阿!
手機被盜用就另當別論...

這個其實也算是OTP的概念而且不用發簡訊

lichang iT邦新手 5 級 ‧ 2017-01-18 16:47:41 檢舉

也不錯喔!可是要怎麼著手比較好呢

wwx iT邦好手 1 級 ‧ 2017-01-18 18:29:02 檢舉

那得要先寫個APP掃描QRCODE取得首頁暫時提供的session訊息,之後行動裝置回傳APP-Server告知用什麼身份登入該session...

有用過點腦版的賴或微信嗎?
試著用用看就大概知道意思了~
然後就看設計的巧思和開發的能力了!

0
mytiny
iT邦大師 1 級 ‧ 2017-01-18 18:56:39

版大其實不用特別去寫程式
有些防火牆設備就可以做到想用的功能

如果是在內部網路需要使用者同時IP、帳密、設備識別
使用Fortigate本身就有BYOD設備辨識的功能
無線網路部分可採用其FortiAP基地台

如果是外部網路要使用
可參考raytracy大的建議用"雙因子認證"
Fortigate配合FortiToken就可以做到
請參考以下原廠說明
http://www.fortinet.com.tw/products/fortitoken/index.html

我要發表回答

立即登入回答