Domande con tag 'authentication'

domande con tag
4
risposte

Devo implementare il ritardo della password errata in un sito Web o un servizio web?

Con gli argomenti espressi in questa risposta , c'è un ritardo di qualche secondo tra l'utente inserisce una password errata e quando lui / lei effettivamente impara, quella password non era corretta. Questa soluzione di sicurezza è implementat...
posta 20.07.2015 - 09:07
9
risposte

Qual è un buon modo per attivare un "segnale di soccorso" nascosto nella messaggistica istantanea?

Ecco lo scenario: Alice e Bob utilizzano la messaggistica Off-the-record per comunicare tramite IM. Hanno: crittografia Autenticazione Deniability Segreto perfetto in avanti Comunicano dopo l'autenticazione, essendo ragionevolmen...
posta 13.07.2011 - 22:58
4
risposte

E 'una cattiva idea per un titolare di informazioni di inviare via e-mail a un utente la sua password?

Un paio di siti Web con cui sono registrato hanno, dopo un periodo di inattività da parte mia, ciascuno di essi mi ha inviato una e-mail per ricordarmi che sono ancora registrato. In ogni caso, tale e-mail ha incluso la mia password. È una c...
posta 03.07.2011 - 18:42
3
risposte

Perché è una cattiva idea usare semplicemente oauth2 per l'autenticazione?

TL; DR : quali sono le implicazioni sulla sicurezza dell'uso di oauth2 per l'autenticazione? Sto costruendo un'app (sito A) che consente agli utenti di eseguire operazioni su un altro sito Web (sito B) tramite un'interfaccia più semplice....
posta 05.08.2016 - 17:31
6
risposte

Come impostare un Single Sign-On per più domini?

Ho impostato un accesso unico per due dei nostri siti che vivono nello stesso dominio: a.dominio.com e b.dominio.com L'ho fatto attraverso i cookie, ma sono dipendenti dal dominio. E - come è scritto nel Great Book - ora la necessità di singl...
posta 26.11.2010 - 10:45
6
risposte

È un tokenless (in particolare SMS) 2FA un compromesso di sicurezza sui token OTP?

Ho esaminato i vari pro / contro dell'innevamento basato su tokenless (in particolare basato su SMS) e tradizionale basato su token (si pensi a RSA SecurID). Dopo aver fatto qualche ricerca, penso di avere una migliore comprensione delle due opz...
posta 06.05.2012 - 16:06
3
risposte

Come sostituire un vecchio metodo di hashing della password con uno più recente nel software? [duplicare]

Il software sviluppato dalla nostra azienda ha appena superato un controllo di sicurezza. Gli auditor hanno segnalato il nostro uso di MD5 per le password di hashing che gli utenti possono impostare se desiderano una password sui loro file. Av...
posta 01.06.2015 - 09:47
3
risposte

Usare SHA-256 per pre-processare la password prima di bcrypt?

Vorrei consentire agli utenti della mia applicazione Web di avere password lunghe, se lo desiderano. Oggi sono venuto a conoscenza della limitazione della lunghezza della password di bcrypt (72 caratteri, il resto troncato). Sarebbe sicuro pe...
posta 14.02.2017 - 10:36
3
risposte

Se un sito web ha un ritardo di 5 secondi prima di mostrare il modulo di accesso, è probabilmente una misura di sicurezza?

La homepage di JP Morgan Chase ha un ritardo di 5 secondi prima che compaia il modulo di accesso. Se si aggiorna il ritardo è sempre lì. Se non si immette una password corretta, la pagina di accesso non riuscita non ha un tale ritardo quando la...
posta 25.09.2016 - 07:33
3
risposte

Non è aperto con http un problema?

Molti siti abilitati openid hanno come impostazione predefinita gli identificativi http, anche se il provider openid supporta https (come myopenid.com). Questo rappresenta una minaccia a parte l'identità che viene esposta? Il secondo passo de...
posta 12.12.2010 - 00:13