Authentication security

Безопасность аутентификациивеб-приложений

Сергей НартымовBrainspec

https://github.com/lesttwitter: @just_lest

Хэш с солью

create_table :users do |t| t.string :name t.string :salt t.string :hashed_passwordend

def self.encrypted_password(password, salt) string_to_hash = password + "wibble" + salt Digest::SHA1.hexdigest(string_to_hash)end

def create_new_salt self.salt = self.object_id.to_s + rand.to_send

def password=(pwd) @password = pwd return if pwd.blank? create_new_salt self.hashed_password = User.encrypted_password(self.password, self.salt)end

def self.authenticate(name, password) user = self.find_by_name(name) if user expected_password = encrypted_password(password, user.salt) if user.hashed_password != expected_password user = nil end end userend

has_secure_password

create_table :users do |t| t.string :name t.string :password_digestend

class User < ActiveRecord::Base has_secure_passwordend

user = User.new(name: "david")user.password = "mUc3m00RsqyRe"user.password_digest# => "$2a$10$4LEA7r4YmNHtvlAvHhsYAeZmk/xeUVtMTYqwIvYY76EW5GUqDiP4."

user.save

user.authenticate("notright") # => falseuser.authenticate("mUc3m00RsqyRe") # => user

bcrypt

$2a$10$vI8aWBnW3fID.ZQ4/zo1G.q1lRps.9cGLcZEiGDMVr5yUP1KUOYTa

идентификатор алгоритма

bcrypt

сложность

bcrypt

соль

bcrypt

bcryptdef password=(unencrypted_password) unless unencrypted_password.blank? @password = unencrypted_password cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine::DEFAULT_COST self.password_digest = BCrypt::Password.create(unencrypted_password, cost: cost) endend

def authenticate(unencrypted_password) BCrypt::Password.new(password_digest) == unencrypted_password && selfend

bcryptdef password=(unencrypted_password) unless unencrypted_password.blank? @password = unencrypted_password cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine::DEFAULT_COST self.password_digest = BCrypt::Password.create(unencrypted_password, cost: cost) endend

def authenticate(unencrypted_password) BCrypt::Password.new(password_digest) == unencrypted_password && selfend

bcrypt

PBKDF2

scryptbcrypt

PBKDF2

scryptbcrypt

Перебор пользователей

• Неверный адрес e-mail или пароль.

• Если ваш адрес e-mail есть в нашей базе данных, то в течение нескольких минут вы получите письмо с инструкциями по восстановлению вашего пароля.

Тайминговые атаки

def authenticate! resource = valid_password? && mapping.to.find_for_database_authentication(authentication_hash) return fail(:not_found_in_database) unless resource

if validate(resource){ resource.valid_password?(password) } resource.after_database_authentication success!(resource) endend

Тайминговые атаки

user = User.last

Benchmark.realtime { user.valid_password?('lolwut') }# => 0.321346

Блокировка доступа

• для пользователя• для IP-адреса

Блокировка доступа

• CAPTCHA

• разблокировка по ссылке из письма

Инвалидация сессии

user = User.authenticate(params[:name], params[:password])if user session[:user_id] = user.id redirect_to(:action => "index")else flash.now[:notice] = "Invalid user/password combination"end

• хранить в сессии данные, которые изменяются при изменении пароля

• например, соль пароля (так делает devise)

def serialize_into_session(record) [record.to_key, record.authenticatable_salt]end

def authenticatable_salt encrypted_password[0,29] if encrypted_passwordend

Запомнить меня

• добавляем токен и время

• храним токен в HttpOnly cookie

def remember_me!(extend_period=false) self.remember_token = self.class.remember_token if generate_remember_token? self.remember_created_at = Time.now.utc if generate_remember_timestamp?(extend_period) save(:validate => false) if self.changed?end

cookies.signed[remember_key(resource, scope)] = remember_cookie_values(resource)

def remember_cookie_values(resource) options = { :httponly => true } # ... options.merge!( :value => resource.class.serialize_into_cookie(resource), :expires => resource.remember_expires_at )end

Восстановление пароля

• не стоит генерировать пароль и присылать его на почту

• лучше генерировать токен и отправлять ссылку, по которой можно задать новый пароль

Сложность пароля

validates :password, length: { minimum: 5, maximum: 20 }

startssl.com

Двухэтапная аутентификация

Google

Facebook

Google

Facebook

Dropbox

Google

Facebook

Dropbox

Google

Facebook

Dropbox

GitHub

Open Web ApplicationSecurity Project

• https://www.owasp.org/

• https://www.owasp.org/index.php/Cheat_Sheets

Спасибо

https://github.com/lesttwitter: @just_lest

Сергей НартымовBrainspec

Authentication security

Technology

Node.js Authentication and Data Security

Security(Authentication Methods)

Security Realm Configuration for Authentication

Web Authentication Security 1250

Multi-factor Authentication Security Enhancement

Grid Security : Authentication and Authorization

Security and Authentication

1 Message Authentication and Hash Functions Authentication.....

Authorization, Authentication, And Security

Security and Authentication Primer

Usable Security – Password Fallback Authentication

Security and Authentication - cs.huji.ac.il

Spring Security Reference...Spring Security Reference...

8 Authentication Security Protocols

Aadhaar Authentication Application Security...

Security. Agenda ASP.NET security basics...