Protezione della pagina di accesso dell'amministratore [chiusa]

Naviga le tue risposte
0

  1. È sicuro utilizzare un URL familiare come website/admin o dovrei usare un nome diverso, quindi sarebbe più difficile trovare la pagina in primo luogo (supponendo che non ci sia monitoraggio del traffico)?

  2. Sto usando SSL. Devo ulteriormente crittografare la password dell'amministratore usando RSA per sy? Anche l'autenticazione a due fattori? È eccessivo?

  3. Dovrei usare qualcosa come una VPN per avere un IP fisso e limitare la pagina di accesso a quell'IP? (Cosa farò se non avrò più quella VPN?)

  4. Qualche altro consiglio, insidie, rischi per la sicurezza di cui ho bisogno di prestare attenzione (a parte la forzatura bruta)?

posta m s lma 19.05.2017 - 01:16
fonte

1 risposta

2

Non posso fare a meno di sentire che questo è un po 'troppo ampio come le tue 3 domande piuttosto aperte, ma cercherò di rispondere a turno a turno:

  1. L'uso di un URL comune per un'area di amministrazione non dovrebbe essere un problema - sì, gli script di "hacking" comuni tenteranno degli exploit comuni contro quelli comuni ma ciò non dovrebbe indurre in errore a pensare di dover nascondere l'indirizzo o dal momento che si ottiene un guadagno di sicurezza apprezzabile. Questo è un caso in cui si applica il principio di Kerckhoffs: tu devi assumere un punto di partenza che l'attaccante sa dove si trova l'URL dell'amministratore.

  2. Crittografia (o più precisamente hashing crittografico) la password che usa qualcosa come bcrypt dovrebbe essere un passo standard, come si fa notare ssl proteggerà la password in transito tra client e server ma l'hashing della password lo protegge a riposo . L'uso di SSL nel processo di login non fa nulla per proteggerti dall'attaccante che compromette il database e ottiene tutte le tue password in chiaro.

  3. Non posso davvero rispondere a questo senza conoscere il caso d'uso per il sistema. Se è sempre necessaria la connessione da una sola connessione, la VPN con un IP fisso può aggiungere un ulteriore livello, con il rischio che tu faccia notare che se perdi l'accesso a quella connessione e non hai altro modo di accedere al sistema abbastanza da cambiarlo Restrizione IP quindi sei un po 'fregato. Ci sono molti modi per inserire i fail-in in questo tipo di scenario, ma senza molte informazioni più dettagliate sulle specifiche del sistema e il suo scopo è un argomento troppo ampio da affrontare qui.

risposta data 19.05.2017 - 11:07
fonte

Leggi altre domande sui tag

Problema di sicurezza di Facebook Javascript SDK? Cosa c'è che non va con SHA-1 che ha collisioni? [duplicare]