A2: broken authentication

🛡️ A2: broken authentication

Apuntes

• Autenticación rota se produce por malas implementaciones de autenticación en las cuales, crea muchas vulnerabilidades y puertas abiertas para crear riesgos utilizados por atacantes con fines maliciosos
• Broken authentication no solo trata de código, sino también de cultura organizacional y de la empresa en las cuales interviene el cómo mejoran la seguridad del código

Recomendaciones

• Forzar contraseñas seguras: mínimo 8 caracteres
• Procesos de recuperación de contraseñas seguros
  • Este es uno de los factores en donde los atacantes sacan más provecho
• 2FA, Captcha

“No hacerlo por tu cuenta”

• Utilizar vanilla js, vanilla PHP o vanilla ruby no es muy ideal, y lo mejor es dejarlo en personas o servicios especializados en el área
• No usar passwords ⇒ Mitigan muchos de los riesgos que existen, cuando debemos administrar sesiones y contraseñas
  • oAuth
  • OpenId

📌 **RESUMEN:** Se pueden crear muchas vulnerabilidades en nuestra aplicación por parte de la autenticación si se siguen malas implementaciones de la misma. Entre las recomendaciones que evitan estos problemas es delegar este apartado a servicios de terceros (Firebase, Auth0, ....) cuidar el proceso de recuperación de contraseñas y tratar de evitar passwords y utilizar autenticación por otros medios.

Autenticación rota se produce por malas implementaciones de autenticación, las cuales crean vulnerabilidades y puertas abiertas. También tiene que ver la cultura organizacional y sus políticas de seguridad.

Recomendaciones

• Forzar contraseñas seguras: mínimo 8 caracteres.
• Procesos de recuperación de contraseñas seguros
  • 2FA, Captcha.
  • “No hacerlo por tu cuenta”.
• Utilizar servicios o librerías especializadas y no hacerlo a mano, debido a las experiencia y confiabilidad en herramientas especializadas.
• En la medida de lo posible apoyarse en sistemas de autenticación existentes (oAuth, OpenId) y no usar passwords nativamente.