Надёжная авторизация для веб-сервиса за один вечер

Все блоги / Про интернет 12 марта 2017 471

Предыстория

Осень 2015-ого. Примерно полтора года назад, когда мне случилось стать участником разработки проекта, где пользователей существенно больше пары десятков человек, я наконец-то впервые в своей жизни задумался о надёжности авторизации.

По сути, авторизация — это то, с чего начинается процесс взаимодействия зарегистрированного пользователя с системой (для незарегистрированного пользователя всё начинается с регистрации, и эти два процесса, как вы уже догадались, очень сильно взаимосвязаны). Я внезапно осознал, что во всех проектах, что я делал до этого, с безопасностью всё очень плохо :)

Достаточно рассмотреть простейший пример: кто-то подобрал пароль, или человек каким-то образом скомпрометировал его. Конечно, у нас в базе данных хранятся хэши с использованием соли, мы даже настолько продвинуты, что используем только HTTPS… Но это никак не спасёт нас от человеческого фактора. Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Небезопасный способ авторизации в GitLab CE с использованием LDAP аккаунтов и метод устранения уязвимости

При эксплуатации системы GitLab CE на своем предприятии (имеющему большую филиальную структуру), была обнаружена уязвимость, которая может привести к получению полного доступа к аккаунту любого пользователя системы администраторами филиалов предприятия. Проблема выявлена в подсистеме

подробнее »

18 января 2016

[Из песочницы] Авторизация без авторизации: не собираем персональные данные

В эпоху тотального слива данных интернет-гигантами и уголовного преследования в цифровой среде пользователи боятся оставлять какую-либо информацию о себе. Тем более, если речь идет о VPN-сервисе, где вводить свои персональные данные пользователь не хочет даже при регистрации, а обеспечивать доступ

подробнее »

11 октября 2018

Портрет пользователя "ВКонтакте": работающий специалист среднего и ниже среднего достатка

"ВКонтакте" - соцсеть не школьников, а работающих специалистов со средним и ниже среднего достатком, следует из данных TNS за октябрь 2014 года. Всего в октябре "ВКонтакте" посетили 53,43 млн пользователей в возрасте от 12 до 64 лет. 67,4% всех посетителей трудоустроены, - это 35,99 млн человек.

подробнее »

18 декабря 2014

[Перевод] Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 2

Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 1 Существует сайт под названием Hire2Hack, который тоже принимает заявки на «восстановление» паролей. Здесь стоимость услуги начинается от $150. Я не знаю об остальном, но вы должны предоставить

подробнее »

17 ноября 2019

JaCarta PKI и OpenVPN для Windows

В настоящей статье описывается процесс настройки двухфакторной аутентификации по смарт-картам и USB-токенам JaCarta PKI на основе цифровых сертификатов X.509 в OpenVPN. Данное решение позволяет отказаться от парольной аутентификации пользователя. Внедрение настоящего решения — это кардинальное

подробнее »

31 мая 2017

Перехват чужих сообщений в Telegram «без регистрации и 2FA»

По своей сути 2FA должен защищать учетную запись от несанкционированного доступа при критически-важных действиях с ней. Но почему-то он не используется при копировании папки с телеграм с устройства пользователя на новое устройство. Скорее всего большинство пользователей не в курсе, что папку с

подробнее »

5 ноября 2020