Domande con tag 'authentication'

domande con tag
1
risposta

Quali sono stati i difetti di sicurezza specifici con OAuth 1.0? Come vengono affrontati nella 2.0?

Ho letto un articolo che documenta Twitter ritirando bruscamente il suo supporto OAuth nell'aprile del 2009. Il l'articolo dice che non specificherà il buco per ragioni di sicurezza, ma menziona "l'ingegneria sociale". Immagino che il buco...
posta 16.12.2010 - 16:21
1
risposta

Perché vengono utilizzati i token di aggiornamento

Leggendo su JWT, vedo che è prassi comune includere un token di aggiornamento insieme al token di breve durata. Così comunemente sembra che tu abbia un token di breve durata che dura per un breve periodo di tempo, ad esempio 15 minuti, e un toke...
posta 08.03.2016 - 01:12
2
risposte

Authy 2FA best practice

Ho usato l'app mobile di auth per un po 'di tempo per i token OTP, ma ho disattivato il backup / sincronizzazione. Ho notato che hanno un'app desktop, che sarebbe molto più comoda la maggior parte del tempo, ma mi chiedo se ci sia stata qualche...
posta 07.09.2016 - 19:39
2
risposte

L'argomento è davvero finito su SSO?

Recentemente ho sparato a ServerFault per aver suggerito che SSO può essere meno sicuro di avere credenziali diverse per ogni servizio. Quali sono gli argomenti contro SSO?     
posta 06.06.2011 - 16:26
4
risposte

In che modo YubiKey Challenge-Response funziona "localmente"?

Recentemente ho un YubiKey NEO (e un po 'deluso dal fatto che puoi avere solo due metodi di autenticazione a fattore di secondo attivato tra quelli elencati). Nei gestori di password quelli che supportano YubiKey, Password Safe sono open-so...
posta 12.06.2015 - 01:28
4
risposte

Un sistema deve essere insicuro rispetto all'accesso fisico? Se è così, perché?

Ispirato a: Perché i sistemi operativi non proteggono da fonti non attendibili Tastiere USB? Correlato: Cosa può un hacker quando ha accesso fisico a un sistema? (indirizzo i punti delle sue risposte principali di seguito). Sembra che ci...
posta 06.02.2016 - 15:37
3
risposte

Quale autenticazione alla fine del protocollo Secure Remote Password?

Affinché il client e il server si dimostrino reciprocamente che hanno la stessa chiave condivisa premaster, l' autore originale suggerisce questo: M = H(A | B | K) --> <-- H(A | M | K) Il RFC 2945 consiglia questo:...
posta 18.06.2011 - 19:08
3
risposte

Quale sistema di autenticazione (OpenID, Facebook, ecc.) consente il funzionamento senza Javascript e / o senza cookie?

Sto cercando un sistema di autenticazione che si basi su terze parti (ADFS, OpenID, SAML) ma non si basa su cookie o Javascript ... o almeno può renderli opzionali. Il mio intento è di degradare e mantenere con garbo lo stato non in un cookie...
posta 06.02.2011 - 16:34
1
risposta

Costruisci un canale sicuro senza SSL / TLS

Sto osservando le possibili opzioni per creare un canale sicuro tra più dispositivi embedded con funzionalità di crittografia limitate e un server HTTP (potrebbe essere una sorta di servizio Web). 1. Contesto I dispositivi supportano solo...
posta 18.06.2013 - 12:11
2
risposte

In che modo YubiKey protegge la sua chiave segreta?

Da quanto ho capito, un YubiKey memorizza una chiave segreta che può essere utilizzata per generare password per entrare in un server. In che modo un YubiKey protegge la sua chiave segreta? Se è collegato a un computer infetto, la chiave s...
posta 12.11.2013 - 16:54