Preguntas con etiqueta 'passwords'

preguntas con etiqueta
1
respuesta

¿Cómo puedo ocultar elementos propietarios de datos de prueba en pruebas que se ejecutan automáticamente?

Estoy escribiendo pruebas automatizadas para una aplicación web que se ejecutará periódicamente durante la noche, y tengo un problema de seguridad moderado. Para poder completar las pruebas, espero incluir datos en vivo como información de pr...
hecha 29.09.2014 - 22:07
1
respuesta

Anulación global del usuario - Incómodo

Recientemente hemos iniciado un proyecto con un proveedor de servicios que es un poco anticuado en sus formas. Proporcionan un producto pero no lo comercializan particularmente bien, por lo que nosotros (como usuarios del producto) nos hemos inv...
hecha 22.09.2014 - 11:06
1
respuesta

Inicio de sesión de respuesta-desafío sin almacenar una contraseña equivalente

Un problema con muchos sistemas de inicio de sesión de respuesta de desafío es que el servidor tiene que almacenar una contraseña equivalente. Por ejemplo, si el servidor almacena SHA1 (salt + contraseña), y un atacante captura ese hash, entonce...
hecha 15.05.2014 - 22:04
1
respuesta

¿Cómo se autentica un atacante a un servicio usando solo el hash del usuario (después de realizar un ataque de "pasar el hash")?

Digamos que el atacante obtuvo el nombre de usuario y la contraseña de hash. ¿Cómo puede usarlo cuando se autentica a algún servicio en su dominio con, por ejemplo, NTLM? ¿Cómo puede enviar la solicitud como el usuario comprometido? ¿Qué herr...
hecha 31.03.2014 - 19:53
2
respuestas

¿Mi corretaje / banco utiliza medidas de seguridad de contraseña deficientes?

No soy un experto. ¿Podría alguien decirme si estoy exagerando? Después de que se rompiera la noticia de Heartbleed, cambié muchas contraseñas. Esto es lo que descubrí cuando cambié la contraseña de mi cuenta en línea de corretaje / banco tod...
hecha 24.04.2014 - 18:48
1
respuesta

¿Cómo descifrar las contraseñas hexdigest SHA512 con John the Ripper?

He estado jugando con John The Ripper (JtR) para tratar de descifrar / auditar una contraseña con sal que se escribió con SHA-512, con 20 interacciones según la fuente (para curiosos, esta es una aplicación Rails, con la gema authlogic). Si...
hecha 28.02.2014 - 22:52
1
respuesta

Dado el hash, salt, charset y la longitud de la contraseña, ¿cómo se obtiene la contraseña sin forzarla?

Obtuve esa pregunta en un ejercicio y no estoy seguro de qué responder. Sin la fuerza bruta convencional y sin una tabla arco iris, ¿cómo puedo averiguar la contraseña? Un algoritmo mejorado de fuerza bruta es aceptable, pero ¿cómo podría...
hecha 07.03.2014 - 21:33
1
respuesta

UUID y Open_id en la cookie 'bien' es suficiente?

Estoy usando Tomcat 7, jsp para crear un sitio web pequeño. Soy nuevo en seguridad y es un proyecto escolar, por lo que usar Spring Security no es una opción. Estoy intentando almacenar UUID y Open_id en las cookies de los clientes para la fun...
hecha 21.03.2013 - 03:27
2
respuestas

¿Existe una guía que indique que todas las sesiones se cierran cuando un usuario cambia su contraseña?

A menudo, cuando una cuenta es hackeada, la guía de seguridad es cambiar su contraseña. Sin embargo, he notado que cambiar una contraseña a veces no es suficiente para desconectarse de otras sesiones que están activas. ¿Existe alguna guía de...
hecha 28.11.2012 - 17:05
1
respuesta

¿Cuál es la mejor manera de enumerar los intentos de registro / inicio de sesión?

Para iniciar sesión a través de un sitio web, ¿cuál es la mejor manera de contar el número de intentos que es: menos vulnerable a la manipulación confiable rápido El sistema: use HTTPS durante la fase de inicio de sesión (al menos...
hecha 16.11.2012 - 15:08