Domande con tag 'authentication'

domande con tag
1
risposta

Quali sono i rischi dell'utilizzo di OAuth per l'autenticazione quando si ha il controllo di entrambe le estremità?

Recentemente ho scoperto che le applicazioni nel nostro sistema utilizzavano semplicemente Oauth2 invece di OpenID Connect per autenticare gli utenti. Il caso d'uso originale era usare OAuth per consentire ai nostri utenti di autenticarsi sulle...
posta 21.11.2018 - 12:44
1
risposta

OAuth 2 Tipo di sovvenzione implicita per la prima parte SPA - Modo più sicuro e ragionevole

Il mio obiettivo è quello di proteggere la mia API stateless e consentire solo ai clienti proprietari (SPA) registrati di consumare le mie risorse. Non ci saranno clienti di terze parti nel mio scenario. So che l'autorizzazione Oauth 2 con ti...
posta 14.10.2018 - 15:05
2
risposte

Qual è il punto di 2FA se il codice di recupero (che è solo un fattore) può essere utilizzato comunque per accedere all'account?

Penso che il titolo dice tutto, ma per elaborare: Se, ad esempio, qualcuno dovesse trovare il mio codice di recupero, non potrebbe quindi accedere al mio account? Allo stesso modo, qualcuno potrebbe non solo hackerare il mio codice di riprist...
posta 26.10.2018 - 12:18
1
risposta

Autenticazione con OWASP ZAP Script

Al momento sto lavorando a uno script python che automatizzerà lo zap per me, quindi non devo entrare e spostare manualmente i campi o eseguire la scansione delle pagine. La parte su cui sono bloccato è che attualmente il mio script può solo ese...
posta 12.07.2018 - 22:18
1
risposta

SMS OTP come 2FA - dovrebbe esserci l'id di sessione sms in sms per la verifica dell'utente?

Diverse volte ho visto l'implementazione di SMS 2FA quando un sito web mostra "ID sessione sms" (ad esempio, token a 8 cifre) subito dopo l'invio di SMS all'utente insieme al prompt OTP. Sms viene fornito con OTP (ad esempio, 4 cifre) e l'ID di...
posta 06.07.2018 - 18:21
2
risposte

Come autenticarsi usando RSA evitando attacchi MITM

Durante le mie lezioni sulla sicurezza delle informazioni il professore ha detto che Alice può autenticarsi con Bob nel modo seguente usando RSA: Bob genera e invia un nonce ad Alice Alice firma questo nonce con la sua chiave privata e lo...
posta 23.08.2018 - 09:58
1
risposta

Come faccio a fare da intermediario per due parti che non si fidano l'una dell'altra?

Sto speculando sulla progettazione di un sistema che consente lo scambio di informazioni attendibili tra due parti. Parte A: È una grande azienda. Vuole offrire l'accesso ai propri dipendenti tramite un accordo single-sign-on ai materia...
posta 21.08.2018 - 22:17
1
risposta

Quanto sono sicuri i proxy gratuiti e le VPN?

Preambolo : Vivo in Russia dove alcuni siti web (linkedin e. G.) Sono bloccati dal governo (Roskomnadzor). Quindi io e molti cittadini utilizziamo le popolari estensioni per browser gratuite (e le app mobili delle stesse marche) come Hola o...
posta 21.07.2018 - 00:44
1
risposta

Browser Fingerprinting per garantire il login

È una buona idea identificare se l'utente che accede è l'utente che ha creato l'account utilizzando il fingerprinting del browser? Fondamentalmente fai un po 'di controlli nel momento in cui fanno clic su Accedi e se non corrisponde all'80% d...
posta 16.07.2018 - 20:08
1
risposta

ripristino sessione sessione gmail interrotta nell'esecuzione dell'istanza del browser chromium?

La mia situazione è: + Ho creato un account gmail per scopi speciali + Ho usato una password complicata per proteggere l'account. Di proposito, non ho usato alcuna opzione 2FA: un indirizzo email "reset" o un numero di telefono + Ho acc...
posta 09.11.2018 - 10:41