Todas las preguntas

1
respuesta

Autenticación de dos factores: ¿Por qué pedir una contraseña primero? [duplicar]

Todos los sitios web que encontré que usan autenticación de dos factores le piden al usuario su contraseña primero. Luego, después de ingresar una contraseña correcta, se envía un SMS o un correo electrónico que contiene otro código que debe i...
pregunta 23.06.2017 - 22:02
2
respuestas

¿Es más seguro mezclar hash y sal de contraseña en el mismo campo de la base de datos?

Estoy almacenando en mi base de datos el hash y salt de la contraseña del usuario. Me gustaría saber si la combinación de hash y sal en el mismo campo está agregando complejidad a un posible pirata informático que tuvo acceso a la base de dat...
pregunta 03.08.2017 - 17:45
1
respuesta

cuáles son los riesgos asociados con una cadena de certificados incompleta

¿Cuáles son los riesgos reales asociados con una cadena de certificados incompleta Leí acerca de las cadenas de certificados y creo que entiendo el concepto, pero parece que no entiendo los riesgos potenciales, por ejemplo, SSLLabs verifica s...
pregunta 07.07.2017 - 21:52
2
respuestas

¿Los contenidos de CDN pueden ser descifrados por funcionarios en el nuevo diseño de seguridad de Telegram?

Recientemente Telegram anunciado utilizando < a href="https://en.wikipedia.org/wiki/Content_delivery_network"> CDN en algunos territorios donde no desean colocar servidores principales. Aunque no se explican los aspectos internos, de acuerd...
pregunta 29.07.2017 - 22:15
1
respuesta

¿Por qué no existe un dispositivo con x509 / PKCS # 11 y U2F?

He estado buscando un dispositivo, tarjeta inteligente o USB que haga dos cosas: proporcione almacenamiento a una clave de firma digital privada (utilizada con un certificado x509 estándar) para firmar documentos proporcione credenciale...
pregunta 07.07.2017 - 15:31
3
respuestas

¿Existe algún riesgo de tener muchos puertos "no utilizados" abiertos a través de firewalls y enrutadores [duplicado]

Tengo un servidor que estoy usando para alojar servicios públicos de Internet donde quiero iniciar y detener muchas instancias, digamos hasta 50 por servidor físico. La arquitectura del software significa que cada instancia necesita su propio...
pregunta 03.08.2017 - 22:42
5
respuestas

Criptografía: Encriptación con contraseña sin almacenarla

Estoy trabajando en una aplicación de escritorio donde manejamos datos confidenciales y queremos cifrar los archivos locales con una contraseña que le preguntamos al usuario cuando abre la aplicación. En el proyecto más similar, vemos que las pe...
pregunta 27.06.2017 - 20:42
2
respuestas

¿Cuál es la diferencia entre las claves de API y los usos de tokens de API?

De todas las investigaciones que he realizado, he encontrado que las claves de API son menos seguras que las tokens de acceso (bajo el uso de oAuth), y solo se deben usar para fines de monitoreo. Pero a partir de lo que entendí, el servidor g...
pregunta 14.06.2017 - 07:58
1
respuesta

¿Es posible descifrar dos textos cifrados diferentes al mismo valor de texto idéntico?

Sé que en la teoría de Hash Collision, terminas teniendo una colisión si dos cadenas de texto diferentes resultan en los mismos valores de hash. Pero mi pregunta aquí está relacionada con el cifrado. 1) Estoy cifrando un texto "Hola" utilizan...
pregunta 04.08.2017 - 13:09
3
respuestas

obteniendo la clave privada del módulo

Mientras realizaba un pentest interno (un ejercicio del equipo rojo básicamente), descubrí los siguientes componentes de una clave privada (para ser exactamente OpenSSLRSAPrivateCrtKey): módulo exponente público exponente privado Prime...
pregunta 21.06.2017 - 14:01