¿Con qué frecuencia deben regenerarse los secretos para la autenticación de token?

4

Al implementar la autenticación basada en token, ¿se recomienda volver a generar secretos periódicamente? Esto es asumiendo que los tokens generados tienen vencimiento.

    
pregunta drum 09.04.2017 - 16:05
fuente

1 respuesta

3

Las pautas generales aquí son; El acceso a las claves secretas debe ser altamente restringido. Por ejemplo, si este es un secreto codificado, entonces, cada vez que alguien con acceso a la fuente abandone la empresa, los secretos deben rotarse. Claramente, los secretos de codificación son una mala práctica, y si los secretos se almacenaron correctamente en un HSM / KSM / CloudHSM, entonces hay menos presión para rotar. Tenga en cuenta, Yahoo almacenó las claves para El reino tiene un secreto codificado en el control de la fuente , de modo que cualquier persona con acceso a la fuente podría secuestrar 32 millones de cuentas de correo electrónico (aplauda a los ingenieros de seguridad de Yahoo).

tldr; rote si alguna vez tiene razones para creer que el secreto ha sido comprometido.

    
respondido por el rook 09.04.2017 - 20:57
fuente

Lea otras preguntas en las etiquetas