Todas las preguntas

1
respuesta

Endurecer un servidor contra ataques masivos de SSH DoS

¿Cómo se puede proteger un servidor Linux contra un atacante que intenta abrir una gran cantidad de sesiones SSH (probablemente tratando de forzar una contraseña) para que no haya puertos para poder iniciar sesión legítimamente en la máquina?...
pregunta 10.04.2014 - 14:37
3
respuestas

¿Cómo se pueden mitigar las vulnerabilidades de TOCTTOU dentro del sistema operativo Windows?

¿Cuáles son algunas formas de mitigar los problemas de tiempo de verificación a tiempo de uso que se aplican a los permisos de Windows? Ejemplo: El usuario final se agrega al grupo de administradores locales para instalar software, impres...
pregunta 01.02.2011 - 14:58
3
respuestas

¿Hay alguna tarjeta inteligente / tokens de hardware para la autenticación basada en certificados que se destruyan fácilmente?

Está muy bien usar la autenticación de múltiples factores, pero suponiendo que quiera 'destruir un factor' para que en una situación en la que sea probable que lo coaccionen para proporcionar su frase de contraseña, puede darle la vuelta con gus...
pregunta 30.01.2011 - 09:51
1
respuesta

Nuevo en seguridad, ¿es php password_hash () lo suficientemente bueno?

Esta es la primera vez que tengo que manejar información de personal y quiero asegurarme de que tengo una buena cantidad de seguridad. Estaré almacenando los correos electrónicos y las contraseñas de los usuarios para sus cuentas en una tabla My...
pregunta 30.01.2014 - 21:55
1
respuesta

Seguro para abandonar la verificación de correo electrónico cuando se utiliza el inicio de sesión de Facebook

Si un usuario registra una cuenta en mi sitio web con la autenticación de Facebook, ¿puedo omitir de manera segura el "correo electrónico de verificación" que generalmente se envía a los usuarios que se registran sin Facebook (es decir, de for...
pregunta 03.09.2013 - 20:31
1
respuesta

¿Bcrypt como una función de derivación de claves?

Leí muchas entradas en el intercambio de pila sobre bcrypt y por qué se supone que es mejor que PBKDF2 en términos de almacenamiento de contraseñas . Ahora estoy preguntando si bcrypt es mejor que PBKDF2 en términos de derivación de clave? E...
pregunta 24.01.2012 - 15:07
1
respuesta

negación plausible con TrueCrypt

Si tengo un contenedor TrueCrypt con una capacidad de 2 GB que utilizo para llenar 1 GB con datos reales ocultos, y dejo los otros GB para los datos de señuelo, entonces si necesito revelar una contraseña y entregar el señuelo contraseña, ¿no pu...
pregunta 24.09.2012 - 04:14
1
respuesta

¿Es posible tener nonces de servidor sin estado en el Compendio HTTP?

Al implementar un servidor HTTP Digest, existe el problema de los nonces. Nonces de servidor (a diferencia de nonce de cliente) debe ser emitido por el servidor los clientes pueden reutilizarlos siempre que el servidor lo permita no s...
pregunta 28.01.2012 - 00:49
3
respuestas

Construyendo una lista de vulnerabilidades que deben ser verificadas durante el pentest

Actualmente estoy estudiando cómo hacer pentesting de servidores y necesito algunos consejos / protip relacionados con la metodología / mejores prácticas. La gente a menudo menciona que es una buena idea reunir inteligencia y enumerar todas l...
pregunta 05.09.2012 - 13:59
1
respuesta

TLS Handshake se derriba

Estoy intentando depurar un protocolo de enlace TLS entre dos puntos finales de troncales SIP: .75 y .82. Se está utilizando la autenticación mutua. .75 envía:    Cliente Hola    Certificado, intercambio de claves de cliente    Verifica...
pregunta 16.07.2013 - 10:04