#身份验证

OAuth 2.0身份验证漏洞
OAuth 2.0 Authentication Vulnerabilities(portswigger.net)
2021-3-29 0:6
在浏览网络时,您'几乎肯定会遇到遍布您使用社交媒体帐户登录的网站。此功能是使用流行的OAuth 2.0框架构建此功能。 OAuth 2.0对攻击者来说非常有趣,因为它既非常常见,并且本质上容易实现错误。这可能导致许多漏洞,允许攻击者获得敏感的用户数据并完全逐步绕过身份验证。 在本节中,我们' ll......
社会估价为1.3亿美元,证明身份验证比以往更热
Socure raises $100M at $1.3B valuation, proving identity verification is hotter than ever (techcrunch.com)
2021-3-17 2:59
鉴于一位世界认同,美国数字身份市场预计预计将增加到2023年,美国数字身份市场预计将增加到2023美元,从2019年的刚刚超过150亿美元,毫无疑问。这导致了对身份验证公司提供的服务的需求。 从历史上看,社会一直专注于金融服务业,但计划利用其新资本进一步扩展到包括在线游戏,医疗保健,电信,电子商务和按需服务的“每个......
与处理经过身份验证的会话相关的错误
A bug related to handling of authenticated sessions(github.blog)
2021-3-11 0:30
3月8日晚,我们将3月8日在12:03 UTC之前创建的Github.com上的所有经过身份验证的会话失效,以保护用户免受极其罕见的,但潜在的严重,安全漏洞影响影响非常小的github.com会议的数量。 3月2日,Github收到了对其经过身份验证的GitHub.com用户会话的异常行为的外部报告。收到报告后,G......
为什么要外包您的身份验证系统?
Why outsource your auth system?(fusionauth.io)
2021-1-21 0:54
您是软件工程的领导者,并且在工作中表现出色。您知道,软件开发的最佳途径在于弄清从头开始实现设计中的哪些组件,以及哪些已经由专家实现并且可以重复使用。 您还知道这些不是您只能一次决定的决定–您必须根据环境变化和新产品的需求进行重新评估。 身份验证是您一直处理的那些组件之一。身份验证是任何软件产品的必要组成部分,但是......
Msmtp:关于身份验证方法
Msmtp: About Authentication Methods(marlam.de)
2021-1-1 9:3
在受TLS保护的通道上传输明文密码时,存在一些重大的安全问题。在那里? RFC没有列出任何内容。请明确说明。 身份验证数据库中存储的身份验证信息本身不足以模拟客户端。当服务器仅存储散列时,也是如此。如果数据库被盗,则对信息进行加密以防止预存储的字典攻击。字典攻击无法提供良好的密码。而且,如果用户太愚蠢而无法使用密码......
Web身份验证方法比较
Web Authentication Methods Compared(testdriven.io)
2020-12-24 21:41
在本文中,我们将从Python Web开发人员的角度研究处理Web身份验证的最常用方法。 虽然代码示例和资源是供Python开发人员使用的,但是每种身份验证方法的实际说明都适用于所有Web开发人员。 验证是验证尝试访问受限系统的用户或设备的凭据的过程。同时,授权是验证是否允许用户或设备在给定系统上执行某些任......
Pam 1.5.0在某些情况下具有身份验证旁路
Pam 1.5.0 has a auth bypass under some conditions(www.openwall.com)
2020-11-25 2:39
blists邮件列表的Web界面
Hola:用锈写成的Windows Hello风格的Linux面部认证
Hola: Windows Hello style facial authentication for Linux written in Rust(github.com)
2020-9-23 23:32
WINDOWS HELLO™风格的面部认证,用Rust写的,基于Howdy。使用Linux可插拔身份验证模块(PAM)为系统范围的用户身份验证提供框架。使用Video4linux进行视频捕获。 为了让Hola对用户进行身份验证,必须向可能要使用Howdy的任何PAM配置文件中添加一个小更改。必须将以下行添加到任何配置......
为什么未经身份验证的加密不安全?
Why is unauthenticated encryption insecure?(cybergibbons.com)
2020-9-21 2:50
密码学是一门复杂的学科。如果您不知道自己在做什么,可以介绍许多微妙的问题。 有一句常见的口头禅:“不要自编密码”。这是因为经验不足和经验丰富的开发人员经常构建不安全的加密系统。 然而,必须要有一条线--它什么时候开始变得“自己滚”?特别是在嵌入式系统中,有时需要使用自定义协议,开发人员会陷入密码学的危险领域。 我们看......
Berbix为其身份验证平台筹集900万美元
Berbix raises $9M for its identity verification platform (techcrunch.com)
2020-8-28 3:22
Berbix成立于2018年,帮助公司验证其用户的身份,重点放在大麻行业,但它显然不限于这个使用案例。集成该服务来帮助在线服务扫描和验证ID只需要几行代码。例如,在这方面,它与Strike等支付服务没有太大不同。起步价为每月99美元,含100张身份证。开发人员可以选择标准的身份证检查(在基本配额用完后,每张检查收费0......
以正确的方式为本地移动构建OpenID连接流
Building an OpenID Connect flow for native mobile, the right way(medium.com)
2020-6-10 5:18
寻找有关如何为本地移动应用程序实现OpenID Connect的准确指导方针是一段艰难的旅程。大多数可用的资源没有遵循最佳实践,而其他资源则留下了一些重要的问题没有得到回答。 这里的目标不是重新发明轮子,而是呈现一个简单而完整的移动OpenID Connect流的健壮实现。它基于验证码流程,遵循最新的官方指南RCF ......