Pratiche migliori per il modulo di accesso [chiuso]

2

Quindi sono in procinto di creare un modulo di accesso per gli utenti e mi piacerebbe rendere le cose sicure come ragionevoli. È un sito consumer, non un sito finanziario, ma vedendo come mi piacciono le cose per essere sicuro quando accedo a un sito Web, cerco di mantenere le cose il più sicure possibile nel mio modulo.

Passi che ho preso finora:

Il sito ha un certificato SSL con il server impostato per supportare le crittografie più forti pur consentendo al malus di Internet di accedere al nostro sito (abbiamo alcuni clienti anziani, fine anno)

La password è stata sottoposta a hash con bcrypt.

Per il modulo di login sto usando un csrf_token generato da hasing bcrypt da

  • hostname
  • utente ip
  • session_id
  • user_id

l'ID utente viene generato per ogni utente che visita sulla base del GUID quando non ha ancora effettuato l'accesso, questo viene memorizzato nella sessione al primo accesso al sito e non visibile agli utenti.

Il csrf non viene rigenerato per ciascuna richiesta di ogni pagina a causa di problemi di cronologia e, come detto, non siamo un'istituzione finanziaria e per qualsiasi plug-in è banalmente facile raccogliere qualsiasi token csrf. Questo è un passaggio che non ho bisogno di prendere per proteggere la pagina (quello che ho letto su questo sito comunque)

Lo scripting cross-site è disabilitato.

aggiunto X-Frame-Options: SAMEORIGIN intestazioni

La domanda: Ci sono altri passaggi che posso prendere / devo prendere in considerazione per proteggere il processo di interazione utente / login?

    
posta Tschallacka 03.02.2017 - 11:36
fonte

1 risposta

1
  • Password lunga con compensazione di numero, alfabeto e simbolo.
  • I nomi utente dovrebbero essere unici
  • Limita il numero di tentativi di accesso non riusciti per impedire attacchi brute force e blocca temporaneamente l'utente per la verifica
  • Non consentire il messaggio di errore in caso di mancato utilizzo o suggerimento da parte di un hacker
  • Le credenziali devono essere trasmesse in connessione protetta
  • Proteggi la funzionalità della password di modifica
  • Generazione di immagini CAPTCHA
risposta data 03.02.2017 - 12:23
fonte

Leggi altre domande sui tag