È sicuro utilizzare UUID come autenticazione? [duplicare]

Naviga le tue risposte
2

Ho un'applicazione che usa UUID come autenticazione. L'UUID è memorizzato come KeyChain all'interno della mia applicazione iOS. Quando pubblico l'UUID, uso https. C'è un modo per ottenere la password, a meno che tu non abbia accesso fisico o remoto al dispositivo? Questo approccio è strongmente scoraggiato?

Questa domanda risolve l'uso dell'UUID come input in un campo di testo , mentre la mia domanda è di usare UUID come autenticazione dopo uno stato di login completo. Se lo inserisci in un campo di testo, l'utente deve conoscere l'UUID. (Parlando della mia applicazione) Prima di tutto, l'utente non conosce il suo UUID. In secondo luogo, l'UUID è crittografato all'interno di KeyChain.

    
posta Test tester 28.07.2018 - 02:01
fonte

1 risposta

6

No, non devi utilizzare gli UUID come token di autenticazione.

Gli UUID sono progettati per essere unici, non per essere casuali o imprevedibili. Vedi wikipedia per un elenco di metodi usati per generare UUID. Prendiamo, ad esempio,

Version 1 (date-time and MAC address)

Version 1 concatenates the 48-bit MAC address of the "node" (that is, the computer generating the UUID), with a 60-bit timestamp, being the number of 100-nanosecond intervals since midnight 15 October 1582.

Se fossi un attaccante a cercare di prevedere il prossimo UUID che il tuo server genererà, beh, una volta che ho visto uno dei tuoi UUID, allora conosco il tuo indirizzo MAC, quindi sincronizzo il mio orologio di sistema vicino al tuo e ho un alta probabilità di prevedere i tuoi UUID. I tuoi UUID ti stanno dando ... forse l'equivalente del valore di sicurezza di un PIN a 3 cifre.

Ora stai proponendo di usarlo come un valore super segreto che solo il server e l'utente loggato sanno ...

Potrei formulare alcuni suggerimenti specifici per migliorare il tuo schema, ma probabilmente potresti trarre vantaggio da alcune ampie letture di "autenticazione web" e "gestione delle sessioni". Ecco un buon primer per iniziare:

link

    
risposta data 28.07.2018 - 04:43
fonte

Leggi altre domande sui tag

Perché è possibile prevenire l'attacco CSRF emettendo token CSRF? Tipo di malware nei siti per adulti