Preguntas con etiqueta 'token'

preguntas con etiqueta
1
respuesta

Fichas basadas en AEAD sin estado (AES-GCM)

Quiero generar tokens de datos seguros que se pueden compartir con el cliente para usos como restablecimiento de contraseñas, etc., lo que implica una baja sobrecarga de almacenamiento al final del servidor. Idealmente, solo me interesa administ...
hecha 06.02.2016 - 15:03
3
respuestas

Autenticación basada en token: ¿cuál es una buena longitud de token?

¿Cuál es la longitud de un buen token para un inicio de sesión basado en token? Actualmente estoy usando el siguiente código: <?php $token = bin2hex(openssl_random_pseudo_bytes(16)); ¿Es 16 suficiente o debería cambiarlo con un n...
hecha 22.07.2015 - 12:39
1
respuesta

Generación de pares de claves RSA Safenet iKey 4000 en modo compatible con FIPS 140-2

Necesito generar un par de claves RSA y mostrar las claves pública y privada en la pantalla (en una habitación segura). El algoritmo debe ser aprobado por FIPS. Por lo tanto, me gustaría usar iKey 4000, que cumple con FIPS 140-2 nivel 3 (esto...
hecha 11.03.2015 - 21:32
1
respuesta

Tarjetas inteligentes / seguridad de token USB

Soy bastante nuevo en tarjetas y tokens y trato de manejar un par de problemas antes de comprar y usar uno. 1- acceso físico a las teclas de la tarjeta o token: ¿Todos estos dispositivos están configurados para (o configurados fácilmente para...
hecha 10.03.2015 - 17:52
1
respuesta

Tokens de acceso cifrados - fecha de caducidad

Mi idea es usar tokens encriptados; donde, tras la autenticación (con nombre de usuario y contraseña), el backend encriptaría user_id, timestamp y un SHA-256 sobre ellos, la base 64 lo codificará y lo devolverá al cliente como token de acceso. D...
hecha 04.02.2015 - 16:20
0
respuestas

¿Es esta una implementación segura de tokens de actualización JWT?

Estoy implementando un token de actualización JWT y he desarrollado la siguiente forma de actualizar tokens. El siguiente es el flujo del programa: Cuando el servidor recupera la información de inicio de sesión, verifica la contraseña base d...
hecha 22.09.2018 - 05:57
1
respuesta

¿Por qué usar el token de actualización de oAuth2 es más seguro que regenerar un access_token?

Estoy implementando una autenticación de oAuth2 para asegurar mi API REST. Como estoy implementando oAuth2, necesito generar un access_token que me dará un acceso temporal a mis datos REST. Para hacerlo, simplemente envío una solicitud H...
hecha 04.05.2018 - 12:50
0
respuestas

¿Es seguro el token CSRF administrado a través de encabezados HTTP?

Estoy creando una protección CSRF en mi aplicación, y me pregunto cuál es la mejor (o mejor dicho, la forma menos segura) de transmitir mi token CSRF. La aplicación aplica HTTPS, con TLS1.2. Cuando genero el token en el lado del servidor, nec...
hecha 07.10.2017 - 23:35
1
respuesta

¿Se puede usar un certificado SSL para generar un token SAML?

Una aplicación externa (B) requiere un token SAML para permitir que los usuarios que inician sesión en mi aplicación (A) accedan directamente sin tener que iniciar sesión nuevamente. Este acceso aún no está construido. Mi organización tiene un c...
hecha 05.07.2017 - 19:21
0
respuestas

¿El flujo de actualización de JWT es generalmente seguro?

Estaré usando JWT para la autenticación de mi API REST. Estoy utilizando servicios de nube de terceros y la escritura de la base de datos es muy costosa, por lo que estoy tratando de evitar escribir en la base de datos tanto como pueda. Debido a...
hecha 16.03.2017 - 01:51