Criando Sistemas de Autenticação Seguros

Transcript

1. Criando Sistemas de Autenticação Seguros Dann Luciano 1

2. 2

3. 25 Gigabytes de Dados 30 Milhões de Contas Ashley Madison

   https://www.theguardian.com/ 3

4. 4

5. 68 Milhões de Senhas Dropbox https://www.theguardian.com/ 5

6. Dann Luciano

7. None

8. AVISOS!!! 8

9. Use por sua Conta e Risco! 9

10. Tudo possui um Custo! 10

11. Fuja de Soluções Magicas! 11

12. Politica de Segurança / Privacidade 12

13. Guarde o Minimo de Informação

14. OWASP 14

15. Open Web Application Security Project 15

16. TOP-10 16

17. A2 – Broken Authentication and Session Management OWASP Top 10

    – 2017 (Release Candidate) 17

18. 18

19. Authentication Cheat Sheet

20. Identificadores de Usuarios 20

21. Identificadores de Usuarios • E-mail • Username • Devem ser

    Unicos 21

22. E-mail • Deve ser Validado • Netflix

23. Username • Não Devem Ser Sensíveis a Maiúscula/Minúscula • 'smith'

    = ‘Smith’ = ‘SMITH'

24. Senhas 24

25. Senhas • Tamanho da Senha • Complexidade da Senha •

    Armazenamento de Senhas • Recuperação de Senhas • Envio de Senhas 25

26. Tamanho da Senha

27. Tamanho da Senha • Um tamanho Mínimo deve ser forçado

    pela aplicação • Senhas < 10 caracteres são consideradas fracas • Um tamanho Maximo não deve ser muito pequeno • 128 caracteres está de bom tamanho

28. Complexidade da Senha

29. Complexidade da Senha • Pelo menos 1 letra Maiúscula (A-Z)

    • Pelo menos 1 letra Minúscula (a-z) • Pelo menos 1 Digito (0-9) • Pelo menos 1 caracter Special (!@#$%ˆ&*_- ‘“…)

30. Complexidade da Senha • Certifique-se que cada caractere digitado seja

    incluido na senha • Informe para o seu Usuário a importância de um "Boa Senha”

31. Armazenamento de Senhas

32. NUCA • Texto Limpo • MD5 • SHA1 • SHA256

33. Armazenamento de Senhas • Use SALTs • Gere salts únicos

    para cada senha criada • Não apenas por usuário ou sistema • Use dados aleatórios seguros

34. Armazenamento de Senhas 1. Argon2 2. PBKDF2 3. scrypt 4.

    bcrypt • Custo é Importante

35. salt + pbkdf2(salt, senha, c=10000)

36. Recuperação de Senhas

37. Recuperação de Senhas • Obtenha dados de Identidade • e-mail,

    celular, perguntas de segurança, códigos secretos • Envie um Token em outro canal de comunicação • Permita que o usuário mude a senha em uma sessão ja existente • Pedindo os dados da senha antiga e da nova

38. Envio de Senhas

39. Envio de Senhas • As telas de autenticação devem transportar

    os dados através de TLS • HTTPS = HTTP + SSL/TLS • Navegadores Modernos vão “obrigar” que formulários com senhas usem HTTPS

40. Outros Dados

41. Outros Dados • ID (UUID) • Nome • CPF •

    IP • Ultimo Login • Cartão de Crédito

42. Outros Dados • Criptografe Tudo • xsalsa20-poly1305 • TweetNaCl

43. Re-Autenticação para Ações Sensíveis

44. Mensagens de Erro 44

45. Mensagens de Erro • Devem ser objetiva sobre qual regra

    a senha não está seguindo

46. Mensagens de Erro • Exemplos Incorretos de Mensagens de Erro

    • “Login para Usuario smith: senha invalida” • “Login falhou, usuario invalido” • “Login falhou; conta desativada” • “Login falhou; esse usuário não estar ativo”

47. Mensagens de Erro • Exemplo Correto de Mensagem de Erro

    • “Login falhou; Usuario ou Senha Invalidos”

48. Ataques de Força Bruta 48

49. Ataques de Força Bruta • Crie bloqueios de acesso curtos

    (20 min) • quando sucessivas falhas de autenticação ocorrerem

50. Monitoração 50

51. Monitoração • Falhas devem ser logadas e revisadas: • Falhas

    de Senha • Contas Bloqueadas • Recuperação de Senhas

52. Autenticação em Duas Etapas

53. Autenticação em Duas Etapas • Evite usar SMS • Prefira

    usar Time-based One-Time Password (TOTP)

54. Segurança em Camadas 54

55. Autenticação != Autorização

56. Sessões https://www.owasp.org/index.php/Session_Management_Cheat_Sheet 56

57. HTTP SECURITY HEADERS https://blog.appcanary.com/2017/http-security- headers.html 57

58. HTTPS https://letsencrypt.org/ 58

59. Convite! Show Me The Code 59

60. Muito Obrigado! https://speakerdeck.com/dannluciano @dannluciano [email protected] 60

61. ? 61

62. Referencias 62

63. OWASP • OWASP Authentication Cheat Sheet • OWASP Forgot Password

    Cheat Sheet • OWASP Password Storage Cheat Sheet • OWASP Session Management Cheat Sheet 63