12.5 登录限制
基于纵深防御的思想,假设前面所说的后台地址已经泄露,假设密码被社会工程学等方式窃取到,这种情况下我们就要考虑在登录这一层设置障碍,即使攻击者拿到密码也无法登录,想实现这一效果该怎么做呢,是做信誉体系?自动识别好人和坏人?这种方式很有效果,但是实现起来太庞大,一般的公司没有这样的数据基础去做件事,所以用代码来简单实现最简单的策略如下所示。
1)限制登录IP。只能固定IP访问,或者说公司内网访问,在外网需要访问的时候拨VPN即可。
2)双因素认证。限制内网IP是相对安全的,但是还不够安全,因为攻击者有很大的可能已经通过其他途径进入到内网,所以就需要用到双因素认证手段,比如手机验证码、动态令牌都是非常有效的方式,我们在渗透测试的时候经常遇到这种情况:拿到密码之后要双因素认证才能登录。