Preguntas con etiqueta 'authentication'

preguntas con etiqueta
3
respuestas

Autenticación con certificado de cliente vs HMAC

Estoy diseñando una API diseñada para ser utilizada por un número muy limitado de clientes de confianza, probablemente un clúster de servidores. Se puede acceder a la API solo a través de HTTPS . Para autenticar a los clientes, estoy consideran...
hecha 04.11.2016 - 11:40
2
respuestas

Inútil 2FA en caso de atacante interno

Supongamos un escenario de firma del lado del servidor, donde las claves de usuario se generan en un HSM y se exportan a una base de datos, cifradas con una clave simétrica derivada de una contraseña de usuario y la clave maestra de HSM. Para...
hecha 13.06.2016 - 18:37
3
respuestas

¿Puede la identificación implicar autenticación en sistemas biométricos?

Sé la diferencia entre la Identificación y la Autenticación, que básicamente son reclamar quién eres y probar esa afirmación . En términos de un sistema, son username y password en general. ¿Pero qué hay de la biometría como...
hecha 27.06.2016 - 12:19
1
respuesta

¿Por qué no se usa ampliamente la detección de ataques basada en la misma solicitud de usuario desde diferentes lugares (por ejemplo, por IP)?

Hay muchas maneras en que un adversario puede fingir que es un usuario legítimo (como el robo de cookies de la sesión, el uso de la contraseña y lo que no), pero hasta donde puedo ver, debería ser bastante difícil para ellos pasar inadvertido si...
hecha 04.02.2016 - 10:48
3
respuestas

¿Verifique que la contraseña esté en blanco con nonce cuando la contraseña ya esté en el servidor?

Encontré esta imagen en el artículo nonce de Wikipedia: Para evitar enviar la contraseña en texto sin cifrar y evitar los ataques de reproducción, la contraseña se oculta junto con un número aleatorio del servidor ( nonce ) y un...
hecha 03.02.2016 - 17:40
2
respuestas

¿Se puede falsificar una etiqueta meta? (¿Es un metatag suficiente para declarar que una página está protegida?)

Fondo Estoy trabajando como desarrollador de aplicaciones para usuario y tengo muy poca experiencia en seguridad. Estamos trabajando con una configuración backend muy oscura, utilizando una base de datos 4D y WebClerk en la parte superior....
hecha 22.09.2015 - 17:15
2
respuestas

Iniciar sesión de usuario automáticamente después de hacer clic en Correo electrónico de activación de cuenta

Escenario: registros de la cuenta del foro, el usuario debe hacer clic en un correo electrónico de activación después de registrarse, por ejemplo. crean una cuenta con nombre de usuario, correo electrónico, contraseña y se envía un correo electr...
hecha 06.11.2015 - 13:58
2
respuestas

¿Hay algún problema grave con este método para generar tokens de un solo uso?

Necesito su consejo sobre la seguridad de este diseño. Tengo un escenario en el que una aplicación de servidor y una aplicación de tarjeta inteligente necesitan compartir un valor, por ejemplo. 52, que se ha codificado en un token decimal lar...
hecha 24.04.2013 - 02:55
3
respuestas

¿Cómo usar USB-Stick en lugar de frase de contraseña?

Quería saber si existe algo que permita lo siguiente. Cada vez que uso mi clave RSA (cuando uso ssh, por ejemplo), se me solicita mi contraseña. Me gustaría, en lugar de que me lo pidan, si se enchufa una "llave USB", la usaría en lugar de la...
hecha 12.02.2013 - 23:52
1
respuesta

Autenticación HMAC del servicio web / anti-reproducción

Estoy creando un servicio web, que maneja varias solicitudes de clientes web. El cliente y el servidor comparten una gran clave secreta S, y cuando una parte desea enviar datos, calcula el token de la siguiente manera: T = HMAC (cuerpo HTTP |...
hecha 27.03.2013 - 00:37