بنابراین ما در حال برنامه ریزی برای اضافه کردن یک ویژگی به برنامه ما است که شبیه آنچه گوگل انجام می دهد، اما کمی سخت تر:
- شما لیستی از جلسات که به عامل کاربر و آدرس IP (؟) ( گوگل یک مکان را نشان می دهد)
- 2FA مورد نیاز است تنها زمانی که شما سعی می کنید از یک دستگاه که برای 30 روز گذشته تایید نشده است وارد شوید.
- اگر تلاش ورود به سیستم از یک جفت کاربر / agent / IP جدید ساخته شود ، ما می خواهیم یک پیوند را با یک نشانه برای آدرس ایمیل خود برای تأیید ورود به سیستم ارسال کنیم.
- هنگامی که روی پیوند کلیک می کنند، اگر 2FA فعال باشد، خواهیم از 2FA برای تایید ورود به سیستم
چند چیز ما در مورد:
- با ایجاد کاربر اقدام به تایید ورود به سیستم، به جای گوگل که در آن فقط به شما می گوید از ورود … ما امیدواریم برای جلوگیری از تعداد بیشتری از ورود به سیستم های غیر مجاز. (در حال حاضر ما هر بار که کاربر وارد سیستم می شود، هر بار که وارد سیستم می شود، ما به آنها عامل کاربر و منطقه می گوئیم.)
- با درخواست از 2FA برای استفاده از لینک، ما امیدواریم که بیشتر از ورود نامحدود محافظت کنیم (در حالی که می توانید از طریق ایمیل دسترسی، ما قبل از ورود به صفحه برای ورود به گذرواژه جدید بعد از کلیک روی پیوند بازنشانی، باید قبل از ورود به سیستم 2FA را مجددا اتخاذ کنیم.)
- بزرگترین نگرانی ما این است که ما به طور تصادفی اشتباه نمیکنیم و برخی از کاربران باید پرش کنند از طریق این حلقه یک میلیارد بار در همان جلسه، زیرا حامل تلفن همراه خود را به طور مداوم IP خود را تغییر دهید … و غیره
بنابراین من متوجه است که محدودیت IP بر اساس احتمالا خیلی خوب نیست … بنابراین شاید نگاه کردن منطقه از طریق IP و فقط سفید لیست منطقه؟ اما پس از آن یک هکر فقط می تواند به راحتی عامل کاربر را فریب دهد و از یک پروکسی استفاده کند.
توجه: من درک می کنم این ما توقف همه برای امنیت نیست، اما ما می خواهیم این لایه را اضافه کنیم تا موارد دسترسی غیر مجاز را کاهش دهیم.
سوال من: چه مدل کلی برای محدودیت جلسه / ورود به یک توازن خوب بین "جلوگیری از هکرها / jerks جدید از ورود به سیستم به عنوان شما زمانی که رمز عبور خود را حدس زد / فیشش آن" و "کاربر مزاحم همیشه با لینک های پست الکترونیکی "؟
