¿Cuántos datos debo almacenar en la computadora de un usuario sobre su información de inicio de sesión?

Question

¿Cuántos datos debo almacenar en la computadora de un usuario sobre su información de inicio de sesión?

#1 de Max (3 votos)
#2 de Neb (-1 votos)

4

Actualmente estoy guardando la información de "inicio de sesión" de un usuario (¡no su contraseña sin formato, por supuesto!). Cada dispositivo / navegador obtiene su propia ID segura del servidor, todo bien y bien.

Sin embargo, ¿también debo verificar más información sobre las sesiones anteriores del usuario? Por ejemplo, haga un seguimiento de la ciudad o algo desde lo que un usuario inicia sesión (si no es un inicio de sesión de dispositivo móvil, guárdelo también en el servidor)

Sé que los agentes de usuario se pueden falsificar fácilmente, pero parece que si un atacante obtiene una retención de la ID específica del dispositivo del usuario, habrá algunos problemas graves.

¡Cualquier idea sería apreciada grandemente!

authentication cookies session-management

pregunta Justin J. O'Boyle 21.10.2015 - 00:32

fuente

2 respuestas

-1

La cantidad de protección y verificación que agrega debe ser aceptable para el valor de los datos que está almacenando. Si no confía en sus propios datos en el sistema, es probable que necesite más seguridad.

respondido por el Neb 21.10.2015 - 00:52

fuente

Lea otras preguntas en las etiquetas authentication cookies session-management

¿Puedo hacer una firma XAdES envolvente en contenido binario? ¿Asegurar una URL accesible anónima con un segmento GUID?

score 3 · Accepted Answer

Solo debe almacenar un único token de inicio de sesión en la computadora del usuario. Nada mas. Ese token se debe crear después de verificar las credenciales del usuario a través de un proceso de inicio de sesión seguro. El token debería caducar en algún momento. En el extremo posterior, ese token debe estar asociado con toda la información del usuario. En general, es aceptable utilizar la dirección de correo electrónico del usuario como su inicio de sesión. Debe verificar el correo electrónico del usuario antes de otorgarle acceso a su sistema.

Además, puede realizar un seguimiento de la dirección IP o las ciudades desde las que el usuario inicia sesión. Esa es tu perogativa. Tenga en cuenta que algunos usuarios consideran que el seguimiento de su IP es una violación de su privacidad. Sin embargo, muchos sitios rastrean la IP ahora de todos modos, por lo que ya no es tan importante.

Algunos sistemas, como Google, rastrean las direcciones IP y los agentes de usuario. Pero sugeriría comenzar con un seguimiento de lo mínimo y crecer a medida que crezcan sus necesidades.