试读了《Web应用安全威胁与防治——基于OWASP_Top_10与ESAPI》,感觉这本书写得很好将一些复杂的应用安全理论通过浅显的故事讲述出来,非常方便大家的理解。
读了试读样章后我收获颇丰的一点就是在身份认证中的双因子身份认证。随着互联网应用日渐普及,应用安全的需求也逐步提高。其中身份认证是网络信息安全的基石,如果无法确定用户的身份则不可能进行合理的授权,任何加密或数据传输保护都变得毫无意义,网络和信息安全将难以想象。传统的静态口令方式已无法满足信息安全和管理的需求。
通用的双因子身份认证分为两种:基于PKI的证书认证技术和基于动态口令的双因子认证。这两种方式个人感觉动态口令方式更简单易用,在使用证书时集成现有应用时通常都要做定制开发,客户端也需要安装驱动程序,管理维护比较复杂。相比较动态口令方便部署和使用,应用场景更加广泛。
书中介绍的Google Authenticator就是一个基于时间同步技术的双因子身份认证,将智能手机做为动态令牌,自己来实现动态口令认证服务。本书通过一个技术实例来讲解理论知识,让人不但明白了原理也鼓励大家自己动手去实现一下,这点非常不错。