Идеи по надежной авторизации для работников офиса?
Руководство боится фишинговых сайтов, на которые работник зайдет и вобьет свои логины и пароли.
Ставить 2 факторную авторизацию тоже не хотят. Авторизация по IP не вариант, он меняется каждый день а иногда и несколько раз в день.
Появилась следующая идея:
На странице авторизации делаем скрый input и js функцию которая смотрит localStorage запись auth-token, если там пусто генерируется новый ключ, если в auth-token уже есть ключ он вставляется в скрытый input. И отправляется на сервер при авторизации вместе с логином и пролем.
Далее админ может нажать на кнопку "Привязать auth-token ключ" к авторизации. И таким образом если ключ другой, авторизация не пройдет.
Как вам таком способ? В чем у него вы видите минусы?
Если сайты - свои и пользователи - свои, то чем вам не подходит доступ только с внутренних IP?
Или у вас фишинговые сайты делают одни сотрудники чтобы стащить пароли других сотрудников и все внутри сети? Если так - то это проблема в последнюю очередь должна решаться техническими средствами.