Preguntas con etiqueta 'authentication'

1
respuesta

¿Por qué usar un token de autenticación en lugar del nombre de usuario / contraseña por solicitud?

El autor de enlace recomienda:    ¡NO GUARDE LA COOKIE PERSONALIZADA EN LA BASE DE DATOS (TOKEN) EN SU BASE DE DATOS, SÓLO UN GOLPE! [...] use hashing salado fuerte (bcrypt / phpass) cuando almacene tokens de inicio de sesión persistentes....
hecha 18.07.2014 - 20:08
8
respuestas

¿Cómo evitar coincidencias de nombre de usuario y contraseña al cambiar un nombre de usuario?

Digamos que tengo un sistema donde uno de los requisitos de seguridad es evitar que los usuarios elijan una contraseña que coincida con su nombre de usuario. Los nombres de usuario no distinguen entre mayúsculas y minúsculas, pero las contraseña...
hecha 07.03.2016 - 20:36
5
respuestas

Anular el comando / script especificado en / etc / passwd

Considere la siguiente línea de /etc/passwd : sadeq:x:1000:1000:Mohammad Sadeq Dousti,,,:/home/sadeq:/bin/custom-script.sh La última parte, /bin/custom-script.sh , muestra el comando / script que se ejecutará cuando el usuario i...
hecha 20.08.2018 - 13:27
9
respuestas

¿Qué consideraciones debo tener en cuenta al aplicar las frases de contraseña?

Según XKCD: Seguridad de la contraseña , si la contraseña consta de “cuatro palabras comunes al azar”, será segura y memorable. Quiero crear una aplicación web y hacer que los usuarios creen sus contraseñas de esta manera. Cada contraseña de...
hecha 30.04.2018 - 13:48
7
respuestas

Limitar silenciosamente los intentos de inicio de sesión

He visto el siguiente enfoque de límite de velocidad de inicio de sesión utilizado en un sitio web en el que trabajé, pero no puedo averiguar si es una buena idea: Después de cualquier intento fallido de inicio de sesión, el sitio bloquea la...
hecha 07.04.2015 - 17:56
2
respuestas

¿Es mala la práctica de enviar por correo electrónico?

En mi aplicación Spring, planeaba eliminar las contraseñas del proceso de autenticación al enviar un "enlace de inicio de sesión mágico" a la dirección de correo electrónico de un usuario. Sin embargo, en esta pregunta Rob Winch (líder de Spri...
hecha 15.01.2018 - 16:45
5
respuestas

¿Cuáles son las implicaciones de seguridad de almacenar la lista negra de contraseñas?

Quiero agregar una lista negra de contraseñas que impida que se usen las 1000 contraseñas más comunes para mitigar los ataques de diccionario poco profundos. ¿Hay alguna implicación negativa de almacenar esta lista negra en la base de datos?   ...
hecha 18.08.2013 - 11:16
4
respuestas

¿Cómo se define típicamente “algo que usted tiene” para la autenticación de “dos factores”?

Una amplia gama de productos pretende ofrecer "autenticación de dos factores" (cv autenticación de dos factores - Wikipedia ). La mayoría se implementan como "algo que tienes" para usar, además de una contraseña normal ("algo que sabes"). Algun...
hecha 13.05.2011 - 23:58
7
respuestas

¿La longitud / complejidad / singularidad del nombre de usuario tiene un impacto positivo en la seguridad?

¿Se considera más seguro tener un nombre de usuario más largo / más complejo que usar uno más corto / básico? ¿La singularidad de un nombre de usuario impactaría positivamente la seguridad? Esto es asumiendo que los adversarios no son conscie...
hecha 24.03.2016 - 03:34
8
respuestas

¿Está bien que el secreto de la API se almacene en texto sin formato o que se pueda descifrar?

¿No se considera API keys como nombres de usuario y API secrets se consideran contraseñas? ¿Por qué los servidores de API como Amazon Web Services le permiten ver su secreto de API en texto sin formato? Me hace pensar que lo almace...
hecha 12.08.2012 - 21:11