Todas las preguntas

2
respuestas

SSH: Seguridad de la autenticación de Pubkey frente a la contraseña

¿Por qué la autenticación de Pubkey se considera más segura que una contraseña, y esto se aplica a mi situación (que se describe con más detalle a continuación)? Soy un científico (no tengo capacitación formal en TI), pero construí y administ...
pregunta 29.05.2015 - 01:16
1
respuesta

Dónde almacenar hashes, sales, keys en aplicaciones de escritorio

Estoy tratando de averiguar dónde o cómo debo almacenar los secretos y las claves de la aplicación dentro de una aplicación de escritorio. Por ejemplo, una clave de la aplicación de Facebook o una clave de Dropbox y un secreto. Así que he leí...
pregunta 07.05.2015 - 04:16
2
respuestas

¿Cuáles son las ventajas y desventajas de usar yubikey con el cifrado de hardware ssd?

Estoy considerando probar yubikey y recientemente descubrí que el SSD (crucial m500) que compré recientemente es compatible con el cifrado de hardware. Creo que debería ser posible usar un yubikey para proporcionar la contraseña para el cifra...
pregunta 23.12.2013 - 14:11
1
respuesta

Recuperar el certificado del cliente usando los resultados de Tcpdump en el certificado de longitud cero

Estoy intentando crear una aplicación móvil (con Fiddler ), que envía un certificado de cliente al servidor al que se conecta. Creo que capturar tráfico con Tcpdump , recuperar el certificado del cliente y usarlo con fiddler sería suficiente p...
pregunta 23.07.2013 - 05:53
2
respuestas

¿Cuántos bytes debe tener un token de autorización? [duplicar]

Suponiendo que genere bytes aleatorios con un PRNG seguro, ¿cuántos bytes necesito para que los tokens de autorización sean seguros? Específicamente, cuando los usuarios inician sesión en un sitio web, se generará un token y se almacenará e...
pregunta 04.09.2013 - 01:19
1
respuesta

¿Qué técnicas utilizan los servicios web para identificar el robo de contraseñas?

Me he dado cuenta de que algunos servicios web utilizan un esquema de seguridad en el que los intentos de inicio de sesión que tienen características inusuales activan pasos de autenticación adicionales. Por ejemplo, cuando intento iniciar se...
pregunta 17.08.2013 - 18:17
2
respuestas

Propósito de la confirmación de clave

Entre los requisitos para un intercambio de claves seguro está la confirmación de la clave. Me pregunto por qué se requiere este paso. Incluso si la otra parte no ha calculado un valor correcto para el secreto compartido, no importa. No podrá de...
pregunta 08.11.2013 - 11:31
4
respuestas

Práctica recomendada de "Olvidé mi contraseña"

En una página de "olvidé mi contraseña", ¿es apropiado cuando el usuario no tiene una cuenta para mostrar el mensaje "esta cuenta no existe"? O por motivos de seguridad, ¿debería mostrar un mensaje de éxito ("recibió un correo electrónico con un...
pregunta 22.07.2013 - 14:25
1
respuesta

Fuzzer causa bloqueo. ¿Ahora que?

¿Puede alguien dirigirme a algunos buenos tutoriales sobre cómo identificar el tipo de vulnerabilidad según lo informado por! explotable y adónde ir desde allí? Esencialmente, tengo una pequeña configuración de laboratorio y estoy tratando de...
pregunta 14.10.2013 - 05:25
1
respuesta

¿Cómo detectar un ataque de ingeniería social?

¿Cómo puedo entender si un ingeniero social de sombrero gris me apunta a un objetivo? Y si fallo, ¿qué métodos existen para detectar los ataques de ingeniería social que están en curso dentro de una organización?     
pregunta 23.08.2013 - 13:00