Avvio di un nuovo progetto e necessità di idee per la gestione degli attacchi di Phishing / Brute Force e accesso alla registrazione [chiuso]

2

Sto iniziando un nuovo progetto. L'accesso principale dall'app lato client avverrà tramite un'API scritta in ASP.Net MVC3.
Sto cercando discussioni su come gestire al meglio le informazioni di registrazione per l'accesso alla sicurezza e come gestire Phishing e Brute Force.
Dal punto di vista delle informazioni, vorrei anche alcune idee su cosa tenere traccia per aiutarmi sia a migliorare meglio l'applicazione in futuro sia a commercializzarla meglio.
Qualcuno ha qualche suggerimento o link?

    
posta James P. Wright 15.08.2012 - 17:50
fonte

1 risposta

2

Dietro un buon design e una buona difesa si trova

Conoscenza profonda profonda

Quindi, prima di tutto, ti suggerisco di leggere questi link perché non sei esposto a attacchi di phishing o brute force e altri tipi di attacchi come l'avvelenamento da cookie, CSRF, lo spoofing dei moduli, l'iniezione HTTP, ecc. per te.

link link

Per la registrazione, ti consiglio di utilizzare l'autenticazione basata su cookie e di prendere in considerazione questi punti per i cookie:

  1. Crea solo Http
  2. Crea i cookie di sessione sessione (beh, allora il nome lo dice)
  3. Cerca di rendere i tuoi cookie sicuri, se possibile (SSL o TLS)
  4. Cripta il valore del tuo cookie
  5. Rinomina di tanto in tanto il tuo cookie poiché il nome di un cookie è importante anche per

Uno dei modelli più comuni per prevenire attacchi di forza bruta consiste nel ritardare il processo in base agli intervalli di accesso vietati , ovvero, se un utente non riesce ad accedere per dire n volte, evitare altre richieste di accesso per dire 15 minuti.

Un altro pattern consiste nel bloccare l'utente su n volte in caso di tentativi di accesso non riusciti e creare un meccanismo di sblocco che coinvolga la partecipazione umana in qualche modo.

    
risposta data 15.08.2012 - 20:39
fonte

Leggi altre domande sui tag