Internet está generalmente plagado de sitios web que rompen las reglas básicas de seguridad, luego hay un nivel intermedio en el que el sitio web trata de proteger contraseñas ... pero lo hacen de manera incorrecta. Y finalmente, hay sitios web que hacen la seguridad correctamente y generalmente son seguros, pero pueden ser vulnerables a ataques no directamente en la contraseña, sino en el proceso de autenticación en sí.
Tenga en cuenta que estoy preguntando estrictamente sobre la parte de autenticación. La gestión de usuarios, la gestión de derechos, la prohibición de cuentas, etc. no forman parte de esta pregunta, pero si tiene una solución que viene con estas cosas, es una ventaja increíble, pero no es lo que estoy preguntando.
¿Qué soluciones en caja existen que nos permiten envolver la autenticación en torno a las páginas / contenido, y no son vulnerables a las cosas que se pueden leer fácilmente en OWASP ?: tienen las contraseñas correctamente , envían cookies Diffie-Hellman (o algo así) en lugar del hash de la contraseña como una cookie. Siguen las especificaciones RSA PKCS.
¿Qué existe? Este problema se resuelve todos los días una y otra vez, y honestamente no he oído hablar de muchos esfuerzos para ofrecer una solución de autenticación independiente para sitios web, solo muchas guías que le dicen "use la solución de otra persona". ¿Dónde están esas soluciones?