Internet è generalmente tormentato da siti Web che infrangono le regole di base della sicurezza, quindi esiste un livello intermedio in cui il sito Web cerca di proteggere le password ... ma lo fanno in modo non corretto. Infine, ci sono siti Web che eseguono correttamente la sicurezza e sono generalmente sicuri, ma potrebbero essere vulnerabili agli attacchi non direttamente sulla password ma al processo di autenticazione stesso.
Si noti che sto chiedendo rigorosamente la parte di autenticazione. La gestione degli utenti, la gestione dei diritti, la messa al bando degli account e così via non fanno parte di questa domanda, ma se hai una soluzione con queste cose è un bonus straordinario, ma non quello che sto chiedendo.
Quali soluzioni inscatolate esistono che ci consentono di avvolgere l'autenticazione intorno a pagine / contenuti e non sono vulnerabili a cose facilmente leggibili in OWASP: hanno password di hash corrette , inviano i cookie Diffie-Hellman (o qualcosa del genere) piuttosto che l'hash della password come cookie. Seguono le specifiche RSK PKCS.
Che cosa esiste? Questo problema si risolve ogni giorno ancora e ancora, e onestamente non ho sentito parlare di molti sforzi per offrire una soluzione di autenticazione indipendente per i siti web, solo un sacco di guide là fuori che dicono "usare la soluzione di qualcun altro". Dove sono queste soluzioni?