Domande con tag 'authentication'

domande con tag
1
risposta

Autenticazione API REST con protezione JWT e CSRF per SPA

Sto sviluppando una SPA con il back-end REST e voglio avere una semplice autenticazione basata su token. L'obiettivo di REST è di essere apolidi. Spiegherò il modello di sicurezza e cercherò di fare riferimento a tutte le fonti per le decisioni...
posta 21.02.2017 - 13:10
2
risposte

Verifica che la risposta SAML provenga da un'origine attendibile

Sono in procinto di apportare modifiche al mio sito in modo da poter essere un fornitore di servizi SAML 2.0. Effettueremo SAML avviato da IdP con la federazione di account fuori banda. La mia domanda è questa: data una risposta SAML che vien...
posta 17.05.2011 - 20:24
2
risposte

Perché si dovrebbero evitare catene di sessioni SSH?

In questo documento su Sicurezza sulle risorse di elaborazione NSC , ci sono diversi consigli ovvi (utilizzare una password complessa, non ripetere le password, ecc.). Un consiglio che non avevo mai visto prima, ovvero: To login to a syste...
posta 27.11.2013 - 17:51
2
risposte

È saggio registrare i tentativi di accesso falliti di account non esistenti?

In termini di autenticazione a livello di applicazione, è comune tenere traccia dei tentativi di accesso non riusciti agli account utente esistenti. Tuttavia, non ho visto nessuno che monitora tentativi di accesso non riusciti di account utente...
posta 18.08.2013 - 10:55
5
risposte

Prevenire le frodi elettorali online

Come parte di una campagna promozionale, la mia azienda desidera avviare un sito in cui gli utenti (e i potenziali utenti) del nostro prodotto saranno tenuti a registrarsi e votare per determinate scelte. A seconda di quanto successo, questa pot...
posta 13.02.2013 - 17:28
2
risposte

La passphrase e la chiave SSH si qualificano come autenticazione a due fattori per PCI?

Sto lavorando per ottenere i server della nostra azienda PCI SAQ-C conformi (i dati della carta di credito passano attraverso il nostro sistema ma non sono memorizzati dal nostro sistema). Abbiamo accesso SSH per amministrare i server e tutti gl...
posta 05.12.2012 - 04:17
3
risposte

Sostituzione per One Time Passwords (OTP)

OTP può essere conosciuto come una nuova generazione di tecniche di sicurezza delle password, ma voglio sapere se è ancora abbastanza sicuro dopo diversi anni di apparizione o sarà presto deprecato? & quale sarebbe la possibile sostituzione...
posta 09.08.2012 - 20:14
2
risposte

Sito Web: autenticazione con chiave precondivisa

Abbiamo questa web-application con dati di alto valore (business). Tutte le comunicazioni sono crittografate tramite TLS / SSL. Sebbene consideri questo un protocollo veramente sicuro, può comunque essere compromesso se qualcuno è riuscito a...
posta 15.09.2013 - 12:04
2
risposte

Perché non vi è adozione di RFC 7616 (HTTP Digest Auth)

Il successore di RFC 2617 aggiunge il supporto per SHA-256 anziché MD5 e rende obbligatorio il campo qop, rendendo così l'autenticazione completa più sicura. Tuttavia, nessun browser / client principale (Edge, FF, Chrome, Opera, arricciatura)...
posta 04.03.2017 - 07:43
4
risposte

Throttling tentativi di accesso falliti: timeout esponenziale? per IP? usando un cookie di sessione? captcha?

Sto iniziando a pensare che non è così semplice come sembra, e molte risposte "accettate" qui e in SO hanno risposte alternative che li criticano. Ecco cosa ho raccolto finora La maggior parte di ciò che ho raccolto proviene da questa domand...
posta 21.11.2012 - 02:42