मैं संवेदनशील जानकारी के साथ काम करने के लिए हमारी कंपनी में एक कर्मचारी-केवल रेल एप्लिकेशन स्थापित करना शुरू कर रहा हूं। फ़ायरवॉल, भौतिक सुरक्षा उपायों आदि होंगे। मेरी चिंता अभी आवेदन के लिए लॉगिन प्रक्रिया है।सबसे सुरक्षित संभव डिवाइस डिवाइस कॉन्फ़िगरेशन क्या है?
मैं प्रमाणीकरण के लिए डेविस का उपयोग करना चाहता हूं। डेविस के लिए सबसे सुरक्षित संभव कॉन्फ़िगरेशन क्या है?
मैं सोच रहा हूँ मैं तो निम्न कार्य करें wil: विफल लॉगिन प्रयास की एक छोटी संख्या के बाद
- लॉक खातों
- उपयोग
config.paranoid
तो एक हमलावर अगर वे एक वैध अनुमान लगाया गया है नहीं बता सकता ईमेल पता - शायद ईमेल द्वारा पासवर्ड रीसेट अक्षम करें?
विशिष्ट बातें मैं के अनिश्चित हूँ, इटैलिक में devise.rb
से बोलियां साथ में से कुछ:
- पेपर्स। डेविस के पास का विकल्प है "एन्क्रिप्टेड पासवर्ड उत्पन्न करने के लिए एक काली मिर्च सेट करें।" मेरी समझ यह है कि यह एक एकल, ऐप-विशिष्ट मान है जो "पासवर्ड 123" जैसे पासवर्ड "पासवर्ड 123" (! @ Akdlwekdf "या" *%! Kd39gpassword123 "या जो भी पहले हैशिंग में बदलता है। इसका मतलब है इंद्रधनुष टेबल हमलों को विफल करना, लेकिन this article से मेरी समझ यह है कि यह प्रति-पासवर्ड अद्वितीय नमक के रूप में उतना अच्छा नहीं है। फिर फिर, this article और this paper कहता है कि बीसीआरपीटी में लवण होता है। क्या ब्रिप्रेट के साथ एक काली मिर्च का उपयोग वास्तव में कुछ भी जोड़ता है? क्या मैं , और वहाँ के लिए, यह भी एक नमक स्तंभ है किसी भी आवश्यकता है?
- हिस्सों। पर this question आधार पर "bcrypt के लिए, यह 10 पासवर्ड और चूक hashing के लिए लागत है", मैं के बारे में सोच रहा हूँ 12 के एक कार्य कारक का उपयोग कर। क्या यह उचित लगता है?
- पासवर्ड की लंबाई। एक लंबा पासवर्ड सामान्य रूप से अधिक सुरक्षित लगता है, लेकिन मैं नहीं चाहता कि यह इतना कठिन हो कि उपयोगकर्ता इसे कागज के टुकड़े पर कहीं लिखता है। यदि हम bcrypt का उपयोग कर रहे हैं तो क्या पासवर्ड की लंबाई बहुत अधिक है?
- एसएसएल कुकीज़। SSL सक्षम के साथ सार्वजनिक ऐप्स के लिए, कुकीज़ को चिह्नित करना "यह केवल HTTPS पर प्रसारित किया जा सकता है" Firesheep -स्टाइल हमलों के विरुद्ध सुरक्षा करता है। लेकिन मुझे यकीन नहीं है कि एक आंतरिक ऐप के लिए सुरक्षा प्रमाण पत्र कितना समझ में आता है। क्या वह मूर्ख है?
मुझे और क्या याद आ रहा है?
एसएसएल मूर्ख नहीं है। जब आप नेटवर्क पर लॉगिन प्रमाण-पत्र भेज रहे होते हैं तो यह हमेशा * महत्वपूर्ण होता है। – meagar
मेरे पास एक ही सवाल है। क्या आपने जो कुछ सीखा है और जो आपने उपयोग किया है उसे साझा करने के लिए आप स्वयं जवाब दे सकते हैं? – KobeJohn