Le migliori authentication

2

risposte

Perché dovrei mantenere i token di accesso OAuth 2 insieme al token di aggiornamento

Questo è qualcosa che ho trovato in un paio di articoli su OAuth 2: quando si tratta di persistere token di aggiornamento nel database, alcuni autori preferiscono archiviare anche il token di accesso, o almeno menzionarlo come qualcosa che dovre...

posta 29.10.2014 - 09:49

1

risposta

HMAC necessario con SSL / AccessToken sul posto?

L'utilizzo di un HMAC nei messaggi di servizio Web è eccessivo se si utilizzano già token di accesso e SSL? Sto pensando ad altri modi per proteggere un servizio, e la firma dei messaggi HMAC è uno. Ma viene fornito con un costo, più complica...

posta 16.01.2014 - 16:58

3

risposte

Verifica dei messaggi API senza memorizzare la chiave privata?

Sono in procinto di implementare un'API pubblica per il mio servizio web. La sicurezza è una preoccupazione fondamentale poiché il denaro è coinvolto. Sembra che l'attuale pratica comune per "autenticare" gli utenti nelle richieste API sia co...

posta 06.06.2013 - 04:45

5

risposte

Quali sono i modi per implementare l'autenticazione a due fattori?

Abbiamo dispositivi in grado di generare token. Quindi possiamo usare i token con password per eseguire l'autenticazione a due fattori. Esistono molti modi per implementare tali sistemi per migliorare la sicurezza. Uno dei due che conosco è quel...

posta 15.04.2013 - 08:08

4

risposte

È sicuro mostrare all'utente un messaggio se l'account è bloccato

Sto lavorando su un'applicazione web, la sicurezza è una priorità. Quindi, se un utente non è riuscito ad accedere più di 3 volte, l'account verrà bloccato. Devo visualizzare un messaggio all'utente che dice "il tuo account è stato bloccato"? Sa...

posta 17.08.2013 - 06:39

2

risposte

Quando si utilizza la crittografia a chiave simmetrica, è necessario firmare?

Supponiamo di utilizzare una chiave condivisa tra due parti, che è stata distribuita utilizzando la crittografia a chiave pubblica, è comunque necessario firmare qualsiasi dato crittografato utilizzando la chiave condivisa? O è sufficiente suppo...

posta 04.11.2012 - 05:04

3

risposte

Autenticazione a due fattori con la mia banca

La mia banca richiede un dongle di sicurezza. Inserisci la carta di debito nel lettore di carte e inserisci un codice pin. Viene visualizzato un codice di 11 cifre che viene inserito sul sito web della banca e l'accesso è concesso. Ma se v...

posta 20.09.2015 - 09:17

3

risposte

Esiste un'iniezione SQL per questo esempio di accesso PHP?

Voglio scrivere un modulo di accesso e ho ricevuto un esempio dal web. Voglio sapere, se c'è qualche iniezione SQL per questo codice? Se esiste, quale potrebbe essere la voce del modulo Web di exploit? Questa è la mia forma: <form method...

posta 22.04.2013 - 00:44

2

risposte

Quanto dovrebbe durare il timeout assoluto della sessione?

Il foglio Cheat di OWASP Session Management ( link ) consiglia di implementare un timeout di sessione assoluto (oltre alla sessione inattiva tempo scaduto). Significa che l'applicazione obbliga l'utente a eseguire nuovamente l'autenticazione ind...

posta 29.11.2015 - 21:44

2

risposte

MAC vs Crittografia

Comprendo la differenza tra MAC (ad es. hmac_sha256, ecc.) e Crittografia simmetrica (ad esempio rc4, ecc.), ma la mia domanda è: quale vantaggio risolve MAC con l'utilizzo della crittografia? So che il MAC è usato per verificare che il messa...

posta 11.05.2012 - 01:22

Domande con tag 'authentication'