返回
经验分享|tob产品的登录安全

经验分享|tob产品的登录安全

ID:13179057

大小:389.50 KB

页数:9页

时间:2018-07-21

经验分享|tob产品的登录安全_第1页
经验分享|tob产品的登录安全_第2页
经验分享|tob产品的登录安全_第3页
经验分享|tob产品的登录安全_第4页
经验分享|tob产品的登录安全_第5页
资源描述:

《经验分享|tob产品的登录安全》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、经验分享|ToB产品的登录安全  企业级服务产品,产品安全是用户选择时的关键因素,在登录安全,密码安全,设备安全等三个方面都要做到周全且极致。  经验分享|ToB产品的登录安全  企业级服务产品,产品安全是用户选择时的关键因素,在登录安全,密码安全,设备安全等三个方面都要做到周全且极致。    多设备同时登录并不是不安全  目前市面上多数产品都是单设备登录的,即一台手机终端+一台电脑终端,当使用其他设备登录同一帐号时,需要将其他设备登出,保证同一帐号同一时间仅可在一台设备登录;用惯微信QQ的用户有时会与我反馈,说这样使用起来产品多安全,只能一个设备登录,你

2、的产品采用同样的策略,用户也不会有所不爽。  但实际上,即使产品支持多设备登录,也非不安全,在使用上,既满足了工作场景下的多设备的方便使用,在帐号安全上其实并没有形成相对的劣势。只是在产品设计上,要更多的考虑很多功能设置项的全局统一性,对于服务端统一处理、终端与服务端请求的即时性和弱网下的请求处理的即时性要求并相对较高,因为用户不会管你是不是本地操作还是服务端操作,他们要的是一样的体验。  设备授权一定要操作简单且流程闭环  多设备登录,需要对设备授权登录及设备管理进行闭环设计,比较常用的授权方式为短信验证码授权,也可以做设备之间的快速授权,但由于目前苹果

3、推出新规定,IOS设备的deviseID已不唯一,因此设备之间已无法用deviseID做唯一设备标记,因此短信验证码为更平稳的做法,也是比较安全的做法。  单设备登录提升安全性,也可以做设备登录授权。  设备管理中的授权记录,授权取消可操作,及登录日志的记录是闭环流程的方式  密码安全要结合登录框架设计,双管齐下  技术角度上来看,要尽量少的将密码暴露在登录过程中,即像网页端输入帐号密码的形式可以考虑在整个登录框架中进行弱化处理,对这种形式的登录方式也要尽量做好双因子校验,即密码校验+手机号校验。  保证设备安全基础之上,尽量通过设备授权其他端,比如网页端

4、或者桌面端去进行登录,比较典型的列子是微信。  密码修改有两种流程设计方式:  验证手机号后直接修改密码(手机号验证越来越常用,也相对安全)  验证旧密码,设置新密码(这种比较老套了)  关于密码的强度设计,不同安全等级会有不同设计  关于密码的强度设计,不同安全等级会有不同设计,可以在服务端配置一套规则,随时根据反馈和数据调整,不需要跟随发版。  下面是我在设计整套密码规则时在网上搜来的相对详尽的打分规则,大家可以参考:  密码长度:  0分:小于等于6个字符  10分:6到10字符  25分:大于等于10个字符  字母:  0分:没有字母  10分:全

5、都是小(大)写字母  20分:大小写混合字母  数字:  0分:没有数字  10分:1个数字或数字连续或数字连续  20分:大于等于3个数字  符号:  0分:没有符号  10分:1个符号  25分:大于1个符号  奖励:  0分:字母和数字  2分:字母、数字和符号  5分:大小写字母、数字和符号  减分:  -10分:3位及以上连续数字字母或3位及以上重复数字字母  -20分:字母、数字和符号  5分:大小写字母、数字和符号  最后的评分标准:  >=90:非常安全  >=80:安全(Secure)  >=70:非常强  >=60:强(Strong) 

6、 >=50:一般(Average)  >=25:弱(Weak)  >=0:非常弱  基于打分标准启发,以下是我整理设计的密码规则,重点是加入了弱密码的检校和提醒,以及密码强度检测,大部分对密码安全有要求的需求,以下规则基本可满足(转载请标注出处,谢谢):  

7、目标  灵活化密码规则  排除掉简单密码:123456a123qwe123abc111aaa  常规密码标准:6到20位字母和数字的组合密码强度达到一般即符合标准**弱密码标准下30及以上  中等密码标准:6到20位字母和数字的组合密码强度需达到强**50分及以上  强密码标准:6到20位字母和数字的

8、组合密码强度需达到非常强**70分及以上  

9、密码规则    基本规则:6到20位字母和数字的组合  增加弱密码库:密码库基础  在以上基础上,密码强度检测:一般-强-非常强(调整文案思考:能降低用户绞尽脑汁设置密码的心理压力,并能给用户所设置密码点信心,不出现弱字眼,弱密码就不让用户成功设置)  【一般】密码标准:基础密码规则即为一般密码  【强】密码标准:大小写混合字母或包含符号或密码长度大于12个字符  【非常强】密码标准:大小写混合字母且包含符号  

10、提示文案  密码设置提示文案:  用户设置的密码为弱密码库中密码,则提示“您设置的密码太过常用,极

11、易被破解,请更换设置”,不允许提交  强度检测提示文案:    一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。