Todas las preguntas

4
respuestas

Seguridad de LastPass junto con YubiKey

Estoy buscando soluciones de administración de contraseñas y encontré LastPass . Veo que también admiten la autenticación de dos factores utilizando YubiKeys . ¿Qué tan segura es esta combinación para la gestión de contraseñas? ¿Cuáles son los...
pregunta 20.07.2011 - 01:42
3
respuestas

¿No es seguro mantener varias versiones de una base de datos KeePass?

Mantengo mi base de datos KeePass .kdb en una ubicación remota, y nunca sobrescribo las versiones anteriores, solo agrego la fecha a la nueva versión que estoy cargando. Así que se ve así: db.kdb_2015-01-01 db.kdb_2015-02-01 db.kdb_2015...
pregunta 01.08.2015 - 19:45
5
respuestas

¿Cuáles son las implicaciones de seguridad de almacenar la lista negra de contraseñas?

Quiero agregar una lista negra de contraseñas que impida que se usen las 1000 contraseñas más comunes para mitigar los ataques de diccionario poco profundos. ¿Hay alguna implicación negativa de almacenar esta lista negra en la base de datos?   ...
pregunta 18.08.2013 - 11:16
6
respuestas

¿Existe algún riesgo para una empresa que utiliza un certificado compartido?

Estaba mirando el certificado del sitio web de mi banco y descubrí que se emitió a varios sitios web, y el nombre de dominio del banco solo se incluye entre muchos otros dominios en el campo "nombres alternativos". ¿Se considera esto una mala...
pregunta 07.07.2016 - 14:54
9
respuestas

¿Qué debe incluir un informe de auditoría de seguridad?

Background Estoy a cargo de auditar una aplicación web de mediana escala. He auditado aplicaciones web varias veces antes, pero siempre he escrito un breve PDF explicando rápidamente lo que encontré y, por lo general, soy el que va a corregir...
pregunta 24.01.2013 - 17:02
6
respuestas

¿Hay alguna razón por la que no deba hacer que un archivo encriptado con GPG sea de acceso público?

Estoy trabajando en un proyecto en el que necesitamos mantener algunos archivos específicos de fácil acceso, pero cifrados. Mi idea para lograr esto es tener los archivos disponibles en el sitio web público del proyecto, encriptados a todas las...
pregunta 15.07.2016 - 01:49
5
respuestas

Validación segura del correo electrónico

He estado utilizando esta expresión regular compatible con RFC822 para la validación de correo electrónico. Los evaluadores de lápiz en HackerOne han usado las siguientes direcciones de correo electrónico horrendas que satisfacen la expresión...
pregunta 01.03.2016 - 09:40
2
respuestas

¿Qué tan malo es truncar un hash?

Me pregunto qué tan malo es truncar un SHA1 y solo comparar, por ejemplo, los primeros 10/12 bytes, etc. Estoy trabajando con una longitud fija de 8 bytes que necesito agrupar para obtener un carácter único, pero almacenar con la huella más pequ...
pregunta 10.11.2014 - 19:02
8
respuestas

¿La copia de seguridad de Windows 10 está protegida contra ransomware?

Windows 10 almacena sus copias de seguridad en una carpeta protegida, por ejemplo, E:\System Volume Information , y solo la cuenta del SISTEMA tiene acceso completo a ella. ¿Esto lo hace a salvo del ransomware que cifra los archivos? Incl...
pregunta 02.08.2016 - 17:29
4
respuestas

Usuarios falsos en la base de datos para la detección de compromiso

He leído de sitios * agregando usuarios falsos a sus bases de datos y luego monitoreando su uso. Uno de estos usuarios falsos que están siendo utilizados o incluso intentaron iniciar sesión pueden significar un compromiso de la base de datos, et...
pregunta 17.01.2016 - 21:04