Domande con tag 'authentication'

domande con tag
1
risposta

Quanto è sicuro l'autenticazione a due fattori (TOTP)?

Se qualcuno riceve il mio telefono e salva i valori generati dal mio autenticatore, sarà in grado di trovare la chiave condivisa, che sarà in grado di generare autonomamente i codici? Se sì, quanti codici dovrà generare per ottenere la mia ch...
posta 03.05.2015 - 19:36
2
risposte

Come fa il server a sapere che il mittente CSR è un client approvato?

Supponiamo che un server fornisca un URL POST per inviare CSR. Il certificato di risposta verrà quindi utilizzato per la successiva connessione di autenticazione client-cert SSL. Il problema è che chiunque può POSTARE un CSR al server e quind...
posta 16.10.2014 - 12:01
1
risposta

Comprensione della firma digitale

Ho appena appreso la firma digitale e sto cercando di assicurarmi di avere la mia comprensione della firma digitale sulla traccia corretta. Supponiamo che Alice voglia inviare un messaggio (M) a Bob in cui il messaggio è confidenziale, non ri...
posta 21.10.2014 - 05:02
1
risposta

Token di accesso crittografati - data di scadenza

La mia idea è di usare i token crittografati - dove su autenticazione (con username e password), backend crittograferebbe user_id, timestamp e SHA-256 su questi, base 64 lo codifica e ritorna al client come token di accesso. In questo modo posso...
posta 04.02.2015 - 16:20
1
risposta

Perché la vita di un cookie è estesa dopo che metà del tempo è passato su un algoritmo di scadenza scorrevole?

Sto codificando il mio algoritmo di scadenza a scorrimento per i token Bearer per simulare ciò che viene fatto da Microsoft sulla loro logica FormsAuthentication e leggendo la loro documentazione dicono (enfasi aggiunta) When the SlidingE...
posta 05.02.2015 - 16:19
1
risposta

Qual è l'approccio tipico alla memorizzazione nella cache dei tentativi di autenticazione non validi?

I client (in realtà pezzi di software sviluppati da alcuni tadri casuali su Internet) si stanno autenticando su un server web usando lo schema di autenticazione "base" e per farlo passano il nome utente e la password ad ogni richiesta. Ogni volt...
posta 17.11.2014 - 15:55
1
risposta

È CAST5-CBC supportato da OpenSSL un metodo di crittografia autenticato?

Sto cercando di crittografare alcuni file usando un semplice plugin di cifratura. Ho accesso all'utilizzo di AES-256 in modalità CBC, ma questo non offre l'autenticazione dei messaggi e dovrei creare il mio HMAC per questo. CAST5-CBC è una de...
posta 20.03.2015 - 21:44
1
risposta

Progettazione di un sistema di autenticazione / reg password

Sto progettando un sistema utente reg / auth per un sito web e ho creato questo design per l'autenticazione basata su password. Mi piacerebbe sapere se questo è ragionevole. (ignorando i cookie per le credenziali di memorizzazione nella cache...
posta 02.04.2015 - 01:25
1
risposta

Forzare l'autenticazione EAP-TLS 1.2 con FreeRadius e OpenSSL

Funzionava con l'handshake basato su certificato DHS di TLS con un server FreeRADIUS e WPA_supplicant - entrambi con FIPS OpenSSL 1.0.1j. Afer guardando il traffico di Wireshark, noto che il client invia un Client Hello usando TLS 1.0. Credo...
posta 31.10.2014 - 01:12
2
risposte

Protezione dei modelli di impronte digitali memorizzati sul server di autenticazione Web

Ho un server di autenticazione web a più fattori, che oltre alle normali password utilizza le impronte digitali per l'autenticazione dell'utente. Qualcuno può pensare a un difetto di sicurezza nel seguente scenario: Ho un server di risorse...
posta 04.08.2014 - 10:52