Autenticación de token frente a token de inicio de sesión

Question

Autenticación de token frente a token de inicio de sesión

#1 de Limit (3 votos)

4

Mientras trabajaba en el esquema de autenticación para la API de mi aplicación, tuve una pregunta en mi cabeza.

¿Hay alguna diferencia entre la autenticación por token solo o por un par de token de inicio de sesión? En este momento, mi generador de tokens utiliza el inicio de sesión del usuario, y es por eso que he estado pensando en un único parámetro en la solicitud de API responsable del inicio de sesión del usuario.

Sin embargo, aunque no soy un experto en infosec, no puedo evitar pensar que esto podría ser menos seguro que pedirle al usuario tanto su inicio de sesión como su token, como en teoría un usuario malintencionado, que llega a poseer < es posible que el token de alguien más pueda usarlo.

Otro factor en esto es que las especificaciones requieren que los tokens proporcionen acceso permanente, ya que no pueden caducar.

Por lo tanto, para reiterar: ¿Se requiere un par de token de inicio de sesión con una solicitud que proporcione más seguridad en lugar de que el token sea lo único requerido?

Edit 1: También me parece que si utilizara el par, sería muy parecido a la autenticación de contraseña de inicio de sesión regular. ¿Me equivoco al pensar eso?

web-application authentication

pregunta Ivan Talanov 20.04.2018 - 14:57

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application authentication

Enrutador de Linksys que intentó acceder al sitio web local Cuotas de disco de requisitos de seguridad

score 3 · Accepted Answer

Si está utilizando tokens para proporcionar acceso permanente, entonces los tokens no son muy diferentes de su ID de usuario. Se vuelven incluso menos seguros que una contraseña normal porque el usuario al menos tiene la opción de cambiar su contraseña regularmente.

En cuanto a que lo único que se requiere es el par de token de inicio de sesión y el token, estoy tomando prestada la respuesta aceptada de una pregunta relacionada: Dos contraseñas de una cuenta

En realidad no. Es esencialmente una contraseña, con una presión de la tecla de retorno como un carácter.

Agrega complejidad al proceso de inicio de sesión, que generalmente no es bueno (los usuarios probablemente elegirán una buena contraseña y una rápida para escribir la contraseña). No olvide la regla de @ AviD: "La seguridad a expensas de la usabilidad, viene a expensas de la seguridad"

Dependiendo de cómo se almacenaron las contraseñas, disminuirían ligeramente la capacidad de los atacantes para forzar cuentas brutas, ya que un atacante tendría que romper ambas partes. Aunque dudo que esto equilibre el problema de usabilidad.

Responde a tu edición, sí. Será similar a la autenticación de contraseña de inicio de sesión regular.