Domande con tag 'authentication'

domande con tag
3
risposte

Autenticazione con certificato client vs HMAC

Sto progettando un'API destinata all'uso da un numero molto limitato di client fidati, probabilmente un cluster di server. È possibile accedere all'API solo tramite HTTPS . Per autenticare i client, sto considerando 3 metodi: Certificato de...
posta 04.11.2016 - 11:40
2
risposte

Inutile 2FA in caso di attaccante interno

Supponiamo uno scenario di firma sul lato server, in cui le chiavi utente vengono generate in un HSM ed esportate in un database, crittografate con una chiave simmetrica derivata da una password utente e la chiave master di HSM. Per firmare,...
posta 13.06.2016 - 18:37
3
risposte

L'identificazione può implicare l'autenticazione nei sistemi biometrici?

Conosco la differenza tra Identificazione e Autenticazione, che sono fondamentalmente che affermano chi sei e che provano tale reclamo . In termini di un sistema, sono username e password in generale. Ma che ne è della biometria...
posta 27.06.2016 - 12:19
1
risposta

Perché il rilevamento degli attacchi basato sulla stessa richiesta utente da luoghi diversi (ad es. per IP) non è ampiamente utilizzato?

Ci sono molti modi in cui un avversario può fingere di essere un utente legittimo (come rubare cookie di sessione, bruteforcing della password e cosa no), ma per quanto posso vedere dovrebbe essere piuttosto difficile per loro passare inosservat...
posta 04.02.2016 - 10:48
3
risposte

Verifica l'hash della password con nonce quando la password è già stata sottoposta a hashing sul server?

Ho trovato questa immagine nell'articolo di Wikipedia nonce : Per evitare di inviare la password in chiaro e impedire attacchi di riproduzione, la password viene cancellata con un numero casuale dal server ( nonce ) e uno dal clien...
posta 03.02.2016 - 17:40
2
risposte

Un Meta Tag può essere falsificato? (È sufficiente un metatag per dichiarare una pagina protetta)?

Sfondo Sto lavorando come sviluppatore front-end e ho pochissima esperienza di sicurezza. Stiamo lavorando con un'impostazione di backend molto oscura, utilizzando un database 4D e WebClerk in cima ad esso. WebClerk consente agli utenti...
posta 22.09.2015 - 17:15
2
risposte

Registra automaticamente l'utente dopo aver fatto clic sull'e-mail di attivazione dell'account

Scenario: registrazioni degli account del forum, l'utente deve fare clic su un'e-mail di attivazione dopo essersi registrati, ad es. creano un account con nome utente, e-mail, password e un'e-mail viene inviata all'e-mail che selezionano. Devono...
posta 06.11.2015 - 13:58
2
risposte

Ci sono problemi seri con questo metodo per generare token monouso?

Ho bisogno del tuo consiglio sulla sicurezza di questo design. Ho uno scenario in cui un'applicazione server e un'applicazione smart card devono condividere un valore, ad es. 52, che è stato codificato in un token decimale lungo ma non esiste...
posta 24.04.2013 - 02:55
3
risposte

Come utilizzare la chiavetta USB al posto della passphrase?

Volevo sapere se esiste qualcosa che consentirebbe quanto segue. Ogni volta che uso la mia chiave RSA (quando si usa ssh per esempio) mi viene richiesta la passphrase. Mi piacerebbe, invece di essere richiesto, se una "Chiave USB" è inserita,...
posta 12.02.2013 - 23:52
1
risposta

Autenticazione HMAC del servizio Web / anti-replay

Sto creando un servizio web, che gestisce varie richieste da client web. Il client e il server condividono una grande chiave segreta S e quando una parte desidera inviare i dati, calcola il token come segue: T = HMAC (corpo HTTP || Richiesta...
posta 27.03.2013 - 00:37