No comprometas la seguridad de tu sitio

Por Eduardo Diaz el 10 de Agosto 2005 6:24 PM | | Comentarios (0) | TrackBacks (2)

Esta imagen es real, de un sitio muy visitado por los desarrolladores java a nivel internacional:
badlogin.JPG

No sólo eso, cuando le pedí que me enviara la clave me envió la original.

Principios de Seguridad básico:

1.- Nunca de pistas, si el nombre de usuario está mal, o la clave está mal, entregue el mismo mensaje de error. En este caso no hay que ser demasiado amistoso, porque se compromete la seguridad del sitio.

2.- No guarde la clave en claro en su sitio, no importa cuanto empeño le pongas, no existe sistema de seguridad perfecto. Lo mejor es hacer un hash con la clave.

3.- Exige claves largas, con 8 o más caracteres, lo ideal es que la clave tenga letras números y otros símbolos. Combina mayúsculas y minúsculas en las claves.

4.- Exija que las claves se cambien a menudo.

5.- Bloquee el login al sitio después de una cierta cantidad de reintentos.

6.- En casos extremos puedes bloquear la cuenta y enviar un email de notificación al usuario.

7.- No uses el email como identificación de acceso, eso es muy malo, porque el email es público, y facil de deducir.

8.- Cuando te pidan recuperar la contraseña, genera una nueva clave con caracteres al azar.

9.- No uses test de turings, o captchas, porque atentan contra la usabilidad de tu sitio, y dan un falso sentido de seguridad, los captchas fueron creados para otra cosa. Lo mismo aplica para los generadores de clave, que pueden ser interceptados, o robados.

10.- Usa biometría, es lo más seguro hoy en día.

Categorías

Seguridad

2 TrackBacks

Abajo se encuentran listados enlaces a este artículo: No comprometas la seguridad de tu sitio.

URL de TrackBack URL para esta entrada: http://www.lnds.net/cgi-bin/mt-tb.cgi/390

» Usando one-way hash from La Naturaleza del Software

En codeproject, escribí sobre este tema, voy a empezar escribir sobre lo mismo, pero en cristiano (como decía mi abuelita), en este blog. La razón, es que hay muchas malas implementaciones y aplicaciones de de la criptografía, y como mucha... Lee Más

Enlazado el 25 de Agosto 2005 a las 02:50 PM
» Seguridad, criptografia y un poco de astucia from La Naturaleza del Software

Este post es un tanto técnico, pero explico aspectos de la seguridad de blogmemes, que pueden ser interesantes para los programadores que lean esta bitácora. El problema de las sesiones persistentes. Hay una característica que algunos usuarios habí... Lee Más

Enlazado el 6 de Abril 2006 a las 04:14 PM

Escribir un comentario

Sobre esta entrada

Esta página contiene una sola entrada realizada por Eduardo Diaz y publicada el 10 de Agosto 2005 6:24 PM.

El costo de un dominio en Latino América es la entrada anterior en este blog.

Credibilidad en la web es la entrada siguiente en este blog.

Encontrará los contenidos recientes en la página principal. Consulte los archivos para ver todos los contenidos.

Suscribirse a la fuente de sindicación Suscribirse a este blog (Feed Burner)

Technorati

Technorati search

» Blogs que enlazan aquí

Creative Commons License
Este weblog está licenciado bajo una Licencia Creative Commons.

BloGalaxia website stats
Google

Buscar