Domande con tag 'authentication'

domande con tag
1
risposta

TLS 1.2 standard basato su certificati di autenticazione reciproca

Sto eseguendo un'analisi su un'implementazione client-server basata su certificati di autenticazione reciproca TLS1.2 e mi chiedo se c'è un documento RFC o di riferimento che copre il processo di handshake quando si tratta di autenticazione reci...
posta 16.10.2015 - 17:22
1
risposta

Perché il secondo passaggio dell'autenticazione in due passaggi non è un singolo clic? [chiuso]

Il caso Uso la verifica in due passaggi di Google. La domanda Perché Google utilizza un codice come secondo passo? Perché non solo un'app per Android in cui puoi fare clic su "Sono io"?     
posta 20.10.2015 - 15:41
2
risposte

La mia prevenzione della bruteforce ha importanti aspetti negativi - qualche idea?

Attualmente sto cercando il modo migliore per impedire il portale web del mio software dagli attacchi bruteforce e mi è venuta in mente la seguente idea: 3 tentativi di accesso senza alcuna sfida visiva dopo 3 tentativi falliti mostra Goog...
posta 12.10.2015 - 10:47
1
risposta

OpenVPN username e password solo per autenticazione - non sicuri?

È sicuro usare solo nome utente e password (e certificato del server) per l'autenticazione della connessione OpenVPN? Il nome utente o la password sono mai stati trasmessi in chiaro al server OpenVPN? Ho trovato un (tedesco) sito web che affer...
posta 20.08.2015 - 15:24
2
risposte

Il fattore 2 di Google "Ricorda questo computer" è protetto contro gli avversari con accesso root?

Questa domanda riguarda il tipo di autenticazione a 2 fattori implementata da Google Account. La risposta a questa domanda descrive la sicurezza del trasferimento della chiave segreta tramite un cookie sicuro. Ma cosa succede se l'avvers...
posta 16.08.2015 - 10:43
4
risposte

Come viene garantita la sicurezza della chiave privata RSA del server?

Sentiamo ripetutamente notizie di hacking di password dal database PW (lato server) ma nulla sull'hacking della chiave privata RSA del server (non chiedendo di trovare p e q per un dato modulo pubblico N), perché? Per favore qualcuno spiega c...
posta 26.11.2014 - 17:03
2
risposte

Schema di verifica della password (utilizzato ad esempio in MS Office) - più sicuro di un semplice hash?

Gli schemi di verifica della password usuali memorizzano un hash della password salata e il sale. Se l'hash è buono e computazionale costoso, è considerato sicuro. Tuttavia una versione alternativa (utilizzata in Microsoft Office e probabilme...
posta 23.09.2014 - 17:33
1
risposta

Condivisione della chiave pubblica RSA per la decodifica del JWT tra i server Load Balanced

Sto cercando di implementare un meccanismo di autenticazione senza cookie per un'API Web che è stateless sul server (non memorizza i token di sessione) e può essere bilanciato su più server. Ho implementato un JWT che viene restituito a un cl...
posta 13.10.2014 - 21:27
2
risposte

Decodifica byte tunnel in EAP-TLS o EAP-TTLS utilizzando Wireshark

Ho un po 'di traffico per la conversazione EAP-TTLS, portata da RADIUS. Ne ho anche alcuni trasportati dall'EAPoL, ma penso che la risposta a quel caso potrebbe essere anche meno semplice (anche se forse non necessariamente). In entrambi i cas...
posta 17.10.2014 - 18:05
1
risposta

Autenticazione tra due server interni

Ho due server interni che stanno per comunicare tra loro; parlano HTTPS. Esiste una best practice per l'autenticazione delle comunicazioni tra server interni? A parte una buona pratica, la mia idea attuale è di avere sia il server che il "cli...
posta 11.09.2014 - 23:27