¿Qué soluciones en caja existen para cuidar la autenticación? Sobre todo centrado en sitios web

5

Internet está generalmente plagado de sitios web que rompen las reglas básicas de seguridad, luego hay un nivel intermedio en el que el sitio web trata de proteger contraseñas ... pero lo hacen de manera incorrecta. Y finalmente, hay sitios web que hacen la seguridad correctamente y generalmente son seguros, pero pueden ser vulnerables a ataques no directamente en la contraseña, sino en el proceso de autenticación en sí.

Tenga en cuenta que estoy preguntando estrictamente sobre la parte de autenticación. La gestión de usuarios, la gestión de derechos, la prohibición de cuentas, etc. no forman parte de esta pregunta, pero si tiene una solución que viene con estas cosas, es una ventaja increíble, pero no es lo que estoy preguntando.

¿Qué soluciones en caja existen que nos permiten envolver la autenticación en torno a las páginas / contenido, y no son vulnerables a las cosas que se pueden leer fácilmente en OWASP ?: tienen las contraseñas correctamente , envían cookies Diffie-Hellman (o algo así) en lugar del hash de la contraseña como una cookie. Siguen las especificaciones RSA PKCS.

¿Qué existe? Este problema se resuelve todos los días una y otra vez, y honestamente no he oído hablar de muchos esfuerzos para ofrecer una solución de autenticación independiente para sitios web, solo muchas guías que le dicen "use la solución de otra persona". ¿Dónde están esas soluciones?

    
pregunta Incognito 18.02.2011 - 17:22
fuente

2 respuestas

6

Una forma de externalizar la autenticación es usar OAuth, OpenID, Facebook Connect y otros. De esa manera, no tienes que cuidar las contraseñas de los usuarios.

Para proteger páginas específicas (lo que sería la gestión de autorizaciones / derechos), hay varias soluciones. La mayoría de los marcos web tienen algún tipo de soluciones de autenticación / autorización (por ejemplo, Djangos auth module ).

Una solución más "empresarial" en Java / .NET es Spring Security. Tiene mucha funcionalidad, pero no hace muchas cosas fuera de la caja sin configuración. Probablemente hay otros como Spring around.

Entonces, si está buscando una forma sencilla de agregar autenticación a un sitio web, use algo como OAuth. Si ya está utilizando un marco web, lo más probable es que ya ofrezca esa funcionalidad. Y en el mundo empresarial hay primavera.

    
respondido por el Andreas Arnold 18.02.2011 - 17:40
fuente
3

No dijiste en qué tipo de organización estás.

Si trabaja en educación superior o investiga con educación superior, es posible que pueda participar en la federación InCommon utilizando Shibboleth . Shibboleth no tiene un soporte tan amplio en los CMS y los marcos que disfrutan OAuth o OpenID, pero vale la pena preguntar si su institución está utilizando Shibboleth.

    
respondido por el Paul P 28.02.2011 - 20:03
fuente

Lea otras preguntas en las etiquetas