"Seguridad" abarca todo el sistema, incluido su servidor, su base de datos, el mecanismo de transporte entre el cliente y el servidor, el navegador del cliente ... y el usuario humano. Por lo general, este último elemento será el cuello de botella de la seguridad. Puede (y debe) hacer muchas cosas para procesar la contraseña correctamente (use HTTPS para la transferencia, almacene solo un < a href="https://security.stackexchange.com/a/31846/5411"> hashing correctamente versión de la contraseña, ...) pero, en última instancia, su seguridad no será mayor que la atención con lo que el usuario elegirá y mantendrá privada su contraseña.
Puede ayudar al usuario con educación y proporcionando herramientas de generación de contraseñas , cuidando de halagar al usuario para que coopere, en lugar de obligarlo a que lo envíe (los usuarios enojados nunca son una buena cosa para la seguridad) Sin embargo, las contraseñas estándar solo lo llevarán tan lejos (por "estándar" me refiero a "contraseñas que los usuarios humanos recuerdan en su mente").
Los
métodos más pesados con al menos potencial para una mayor seguridad incluyen:
-
contraseñas de un solo uso , ya sea impresas en un papel o generadas sobre la marcha por un dispositivo de hardware como < a href="http://en.wikipedia.org/wiki/SecurID"> this ;
- Certificados de cliente SSL, almacenados en las entrañas de la máquina del usuario o, para una mejor resistencia, en una tarjeta inteligente ;
-
sistemas biométricos , que tienen sentido, desde el punto de vista de la seguridad, siempre que la característica física que se mide sea razonablemente secreta (por ejemplo, un escáner de retina, a diferencia del reconocimiento facial, porque su rostro no es secreto en absoluto, se lo muestra a todo el mundo cada vez que va a la calle) o hay una función contextual (un guardia armado) que garantiza que está colocando su propio dedo biológico real en el lector de huellas dactilares;
- combinaciones de varios de los anteriores.
Los profesionales de seguridad a menudo hablan de autenticación de múltiples factores como un marco de clasificación genérico para los métodos de autenticación, lo que puede ayudar al evaluar a qué tipo de ataques se resistiría el sistema (esta clasificación a menudo se utiliza en juicios simplistas como "2FA es bueno, 1FA es malo", que se relaciona más con el cumplimiento administrativo y las relaciones públicas que con la seguridad real).