Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

itba > cripto 2p > Flashcards

cripto 2p Flashcards

1
Q

En el modelo BIBA para objetos, cuando se usa la política de RING-POLICY se puede decir que “la información de los objetos se vulgariza”. Tener en cuenta precisamente las características de cada política.
- Verdadero
- Falso

A

Respuesta correcta: Falso. Se puede tomar que cuando se opera con BIBA para objetos, cuando se usa “low watermarking”, los objetos toman el valor mínimo del objeto o del sujeto, por lo que si un sujeto de menor nivel accede al objeto, le reduce su nivel de confiabilidad. (escrito por Rodrigo)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Todos los ataques similares de inyección de código, como SQL Injection, se producen portener datos de control mezclados con datos de usuario.
- Verdadero
- Falso

A

Respuesta correcta: Verdadero.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

El modelo de Muralla China consiste en tres reglas básicas. La primera es la propiedad de seguridad simple, la segunda la matriz de permisos discrecionales y la tercera las reglas de compartimientos.
- Verdadero
- Falso

A

Respuesta correcta: Falso. Posiblemente sean solo 2: la condición de seguridad simple y
la propiedad *.
MURALLA CHINA
Definiciones:
Company dataset (CD): conjunto de objetos relacionados con la misma empresa o grupo.
Conflict of interest class (COI): CDs de empresas con conflictos de interés.
Lectura
S puede leer O sii:
Existe un O’ leído previamente tal que CD(O) = CD(O’) (se accedió previamente a un dato de la empresa).
Para todo O’ leído previamente, COI(O) != COI(O’) (no se accedió a algún dato en una categoría de conflicto de interés con O.
O es un objeto público (desclasificado).
Escritura
S puede escribir O sii:
S puede leer O según la condición simple de seguridad (lectura).
Para todo objeto no público O’, si S puede leer O’ entonces CD(O’) = CD(O).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

La realización de pentesting permite certificar que un sistema es seguro.
- Verdadero
- Falso

A

Respuesta correcta: Falso. Puede determinar que no existen ciertas vulnerabilidades pero podría haber otras que no hayan sido probadas. No es una demostración teórica.

Pentesting
La metodologia de este proceso es la siguiente:
- Determinar y cuantificar los objetivos.
- Encontrar cierta cantidad de vulnerabilidades o buscaras durante un periodo determinado.
- Estudiar y catalogar los hallazgos.
Formalmente, se lo puede definir en los siguientes pasos:

Recolección de Información: Para conocer el sistema y su funcionamiento.
- Hipótesis: Asumir la existencia de vulnerabilidades concretas.
- Prueba: Probar las vulnerabilidades.
- Generalización: Generalizar los patrones y hallar más vulnerabilidades del mismo tipo.
- Eliminación: Opcionalmente se pueden indicar pasos determinados para eliminar a las vulnerabilidades.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Un experto en seguridad afirma que la utilización de software de código abierto es un problema de seguridad, porque un atacante podría inspeccionar el código y explotar alguna vulnerabilidad existente en el mismo.
- La afirmación es incorrecta, ya que el “Diseño Abierto” es un principio de diseño de seguridad que enfatiza que lo único que debe permanecer secreto son las claves privadas o simétricas.
- La afirmación es correcta, tal como se hace en soluciones militares la seguridad de un sistema está en mantener secretos los algoritmos y el código fuente.
- La afirmación es correcta ya que muchas de las vulnerabilidades encontradas en los sistemas surgen de inspeccionar el código fuente al que se tiene acceso.
- La afirmación es incorrecta, ya que la utilización de código libre y abierto es una garantía de seguridad.

A

Respuesta correcta:
La afirmación es incorrecta, ya que el “Diseño Abierto” es un principio de diseño de seguridad que enfatiza que lo único que debe permanecer secreto son las claves privadas
o simétricas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Angular y otros frameworks Web implementan un mecanismo de solución para vulnerabilidades del tipo CSRF, que consiste en la generación de un identificador oculto “fresco” que se le envía al usuario y que se usa como un dato adicional a todos los requests posteriores que vienen del usuario hacia el servidor, tal como por ejemplo la que se encuentra detallada en

https://medium.com/@d.silvas/how-to-implement-csrf-protection-on-a-jwt-based-app-node-
csurf-angular-bb90af2a9efd

  • Esta librería o similares se puede utilizar como está para evitar ataques de XSS, ya que la existencia del token permitiría verificar que todos los requests que llegan al servidor son válidos, y rechazaría las peticiones que tienen contenido javascript.
  • Esta librería o similares podrían utilizarse también para mitigar escenarios de vulnerabilidades de XSS ya que el token de CSRF que se genera desde el servidor prohibiría a los usuarios embeber código javascript en las páginas.
  • Esta librería o similares tendría poco efecto para mitigar vulnerabilidades como XSS ya que en ese caso el problema aparece cuando el contenido en código javascript que se registra en algún campo de usuario, aún generando un request válido, se permite
    almacenar como datos de usuario.aq
  • Esta librería o similares puede también utilizarse para mitigar las vulnerabilidades provocadas por inyecciones de código SQL ya que los requests que llegan al servidor estarían protegidos de ser generados a mano.
A

Respuesta correcta:
Esta librería o similares tendría poco efecto para mitigar vulnerabilidades como XSS ya que en ese caso el problema aparece cuando el contenido en código javascript que se registra en algún campo de usuario, aún generando un request válido, se permite almacenar como datos de usuario.
La generación de un token que se genera desde el servidor hace que los requests generados posteriormente sean vivos (opera similar a un nonce). Así como está no mitiga para nada un ataque del estilo XSS, ya que el problema en ese caso es que se acepta como entrada de datos de usuario código javascript que posteriormente se embebe en
una página web, sin escapear el código lo cual hace que se ejecute (traiciona la confianza que el usuario tiene en que el servidor siempre le manda si o solo si contenido que el programador del servidor generó). (Escrito por Rodrigo)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

En un sistema de autenticación biométrico, puede darse un robo de identidad.
VERDADERO
FALSO

A

VERDADERO
En un Sistema de Autenticacion con huella se puede dar un robo de identidad si se clona un template de la huella.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Una matriz de acceso bien diseñada evita el flujo de información no deseado.
VERDADERO
FALSO

A

FALSO
La Matriz de acceso evita el Flujo de informacion directo no deseado PERO no tiene en cuenta el flujo de informacion indirecto

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

¿A qué se denomina sistema de secreto compartido de umbral (t,n)? Dar el nombre de algún sistema de secreto compartido de tipo umbral.

A

Un Sistema de Secreto compartido de umbral (t,n) implica dividir un secreto en n partes y luego, para la reconstruction de dicho Secreto se deben tomar t partes.

Por lo tanto , se debe cumplir que t ≤ n .
Por otro lado, Ias n partes se reparten entre distintas personas cada quien puede poseer mas de una de las partes.
Ejemplo : Metodo de Shamir

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Explicar qué significa STRIDE y para qué se usa.

A

STRIDE es un Modelo de amenazas que divide las amenazas en 6 categorias. Permite identificar y eliminar potenciales vulnerabilidaes.
- Spoofing viola autenticacion : pretender ser alguien que no sos
-Tampering viola lntegridad : modificar informacion en disco, Memoria , etc
-Repudiation viola non-repudiation : decir que no hiciste algo o no sos responseble por algo

-Information disclosure viola confidencialidad: proveer informacion a alguien no autorizado
-Denial of service viola disponibllldad : agotar los recursos necesarios para proveer servicio
-Elevation of privilege viola autorizacion: permitir a alguien hacer algo que no esta autorizado a hacer

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Si se tiene una lista de control de acceso ACL(o) = {(Manuel, r), (Directivos, w), (*,w)}.
Asumiendo que Manuel es Directivo,
a. Manuel no puede hacer nada sobre o si la política es first rule.
b. Manuel no puede hacer nada sobre o si la política es grant all.
c. Manuel no puede hacer nada sobre o si la política es override.
d. Manuel no puede hacer nada sobre o si la política es augment.

A

b)GRANT-ALL : todos los ACs deben otorgar el derecho
En este caso, r no la otorga Directivos y w no lo otorga Manuel , entonces no le otorga nada .

Grant-All: Requiere que todos los ACs otorguen el derecho, para que el usuario lo tenga.
First-Rule: El primer ACL encontrado es utilizado.
Override: Si el sujeto tiene un AC, se utiliza. Si no lo tiene, entonces se usa el valor default.
Augment: Se dan los permisos por default y se agregan los ACs explícitos para el usuario.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

En un penetration testing:
a. se puede probar la ausencia de fallas de seguridad
b. se define cómo probar la presencia de fallas de seguridad
c. se explotan todas las vulnerabilidades
d. se eliminan una a una las amenazas.

A

b correcta

a. Solo pruebo la existence de Fallas de Seguridad
c. Hay vulnerabilidades que no se descubrieron (no existen todavia)
d. NO necesariamente. Por to general, solo se incluyen recomendaciones.

PENTESTING
Las pruebas de penetración sirven para verificar que el sistema cumple con ciertas restricciones. Estas pruebas sirven para detectar la existencia de vulnerabilidades, pero no pueden asegurar que el sistema sea seguro.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Responder verdadero o falso, justificando o corrigiendo como fuere apropiado:
a) Las cookies SameSite se usan para prevenir ataques de Cross-Site Scripting (XSS).

A

falso
las cookies SomeSite se usan para prevenir ataques de CrossSiteRequestForgery

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Responder verdadero o falso, justificando o corrigiendo como fuere apropiado:

b) La manera mas segura de implementar AES es siempre hacerlo en C o C++.

A

Falso
Por el principio de diseno abierto, la seguridad NO debe depender de la implementacion i.e. la seguridad no recae en el lenguaje

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Un ataque de XSS se lo conoce como persistente cuando contenido malicioso dentro de un pedido de un usuario se le muestra al mismo.

VERDADERO
FALSO

A

Falso
es un ataque XSS reflejado
-Persistente: el codigo malicioso queda almacenado en el servidor (Ej un post en un foro con un link malicioso)
- Reflejado: el codigo malicioso no se almacena en el servidor, sino que existe de forma temporal cuando el cliente abre la pagina web (Ej el atacante manda un link malicioso por mail) -> el ataque lo genera el porpio usuario aka reflejado

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

La funcion de complementacion en un sistema de autenticacion por huella digital es una funcion
que dada una huella y un template obtiene como resultado de quien es la huella.

VERDADERO
FALSO

A

FALSO
la funcion de complementacion en un sistema de autenticacion por huella digital es una funcion que dada una huella genera el template que se almaena en el sistema

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Elegir la opcion correcta y justificar los falsos en una oracion.
1- STRIDE significa
(a) Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege
(b) Security, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege
(c) Spoofing, Tampering, (Non)Repudiation, Information Disclosure, Denial of Service, and Elevation of Permissions

A

a

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Un PenTesting tiene el objetivo de
(a) Comprobar la seguridad del sistema.
(b) Encontrar vulnerabilidades en el sistema
(c) Explotar las vulnerabilidades

A

b
Un pentesting prueba la existencia de las vulnerabilidades y no su ausencia

19
Q

El fabricante de un dispositivo de votacion gubernamental electronico aduce que su dispositivo es seguro porque tiene una completa descripcion de las amenazas. Sin embargo, un experto en seguridad de la compania Security Incorporated refuta que la afirmacion es ncorrecta porque siempre pueden surgir nuevas amenazas reportadas en los sistemas que no fueron encontradas hasta el momento (zero-day).
(a) Es correcta la afirmacion del experto.
(b) Es correcta la afirmacion del fabricante.
(c) Son correctos ambos puntos de vista.
(d) Ambas afirmaciones son incorrectas.

A

a
No se puede tener una correcta descripcion de las amenazas

20
Q

Los diferentes modelos de seguridad se encargan de mantener la confidencialidad, la integridad y/o la autenticidad de la informacion y los sistemas.

VERDADERO
FALSO

A

falso
Falta disponibilidad

21
Q

En el modelo de seguridad Biba Low-watermark la escritura se permite a objetos de niveles inferiores mientras que la lectura es irrestricta.
verdadero
falso

A

Falso dependiendo de a que se refiere con irrestricto. En low watermark se puede leer todo pero sis se lee algo de nivel mas bajo, se baja de nivel

22
Q

Construir software de calidad es garantıa para las seguridad de una aplicacion.
VERDADERO
FALSO

A

No hay garantia de seguridad

23
Q

Explique los Paradigmas de control de Acceso

A

Las políticas se centran en controlar el acceso a objetos. Estos paradigmas son:

Acceso Discrecional (DAC): Esta basada en reglas arbitrarias, con mecanismos puntales. Suele suceder que el acceso esta controlado por los creadores.
Acceso Mandatorio (MAC): Son reglas fijas predeterminadas, definidas con mecanismos del sistema. Estas reglas no pueden ser alteradas.

24
Q

Explique el modelo de confidencialidad

A
  • Modelo de la pared China(hibrido)
  • Modelo Bell-LaPadula
    Es un modelo de política militar que se centra en garantizar confidencialidad.
    Se divide al sistema en Sujetos y Objetos y las acciones sucede en transacciones.
    Cada objeto y sujeto tiene un nivel asignado(tiene orden) y un conjunto de categorias sin orden.
  • se define la dominancia como
    LECTURA
  • S puede leer O syss L(S) dom L(O) y S tiene permiso para leer O.
    ESCRITURA
  • S puede escribir O syss L(O) dom L(S) y S tiene permiso para escribir O

El acceso discrecional se define con una matrizde acceso

25
Q

Principio de tranquilidad - Bell laPadula

A

Usuarios y objetos no cambian sus niveles luegode ser creados
Subir el nivel de un objeto:
– La información fue leída por usuarios de menor nivel
– Viola principio de seguridad simple
Bajar el nivel de un objeto
– Problema de desclasificación
– Viola principio de cierre

26
Q

Liste politticas de Biba (integridad)

A
  • Low-Water-Mark Policy
  • Ring Policy
  • Strict Integrity
  • Modelo de la pared China(hibrido)
27
Q

Low-Water-Mark Policy

A

Idea: Si un sujeto usa información poco confiable, se vuelve poco confiable.
- s puede escribir o si y solo si i(o) ≤ i(s).
- Si s lee o, entonces i’(s) = min(i(s), i(o))es el nuevo nivel de integridad de s
- s1 puede ejecutar s2 si y solo si i(s2) ≤ i(s1)

Problema
Los niveles de integridad de los sujetos decaencon el uso del sistema
Alternativas: modificar los niveles de integridadde los objetos en lugar de los sujetos (mismo problema though)

28
Q

Ring Policy

A

Considera solamente el problema de la modificación directa de objetos
- s puede escribir o syss i(o) ≤ i(s)
- cualquier s puede leer cualquier objeto
- s1 puede ejecutar s2 syss i(s2)≤ i(s1)

Permite utilizar información de menor nivel deconfianza para generar información de mayornivel

29
Q

Strict Integrity

A

Similar al modelo Bell-LaPadula
Reglas:
1. s puede leer o syss i(s) ≤ i(o)
2. s puede escribir o syss i(o) ≤ i(s)
3. s1 puede ejecutar s2 syss i(s2) ≤ i(s1)

Se pueden agregar categorias y controles discrecionales para obtener el dual de Bell-LaPadula

30
Q

Principios de diseño

A

Valores iniciales seguros
- Denegar acceso por defecto.
- Si una acción falla por seguridad, debe volver al estado de seguridad inicial.

Economía de mecanismos
- Simplicidad.
- Se simplifica la verificación (formal e informal).
- Más fácil las correcciones.
- Las relaciones de confianza son más visibles (confianza en entradas y salidas).

Mediación completa
- Todos los accesos a objetos deben ser verificados incluso si es accediendo varias veces.
- Puede ir en contra de la eficiencia: no permite utilizar caches.
- Complejo de implementar: qué ocurre si mientras accedo a un objeto me quitan el permiso?
- Tener un admin y loggear en algun lado todo lo que hace.

Diseño abierto
- No debe depender del secreto del diseño o la implementación.
- No aplica a claves, solo a algoritmos.
- La violación del principio se denomina “seguridad por oscuridad”

31
Q

Principios de seguridad

A

Menor privilegio
- Un sujeto debe recibir solo los privilegios necesarios para completar su tarea.
- Asignar privilegios por función no por identidad.
- Si una tarea requiere derechos adicionales asignarlos y luego desecharlos.

Separación de privilegios
- No debe otorgar permisos basados en una sola condición.
- Separación de tareas/ defensa en profundidad.
- Que no haya una sola persona responsable de una operación crítica irreversible que puede dañar al sistema.
- Esquema con capas que protegen eso, asumiendo que en algún momento una puede fallar.
- Dividir operaciones críticas entre alguien que la defina y alguien que la apruebe.

Mecanismos exclusivos
- Los mecanismos de seguridad no deben compartirse (canales ocultos).
- No usar entornos compartidos para ejecutar mecanismos de seguridad.
- Promueve aislación (máquinas virtuales, sandboxing).

Aceptación psicológica
- No deben dificultar el acceso al recurso.
- Ocultar el mecanismo.
- Es difícil (usabilidad vs seguridad). Cuanto más seguro es, menos usable.

32
Q

Entropia

A

H(X) = SUM P(Xi)log_2(1/P(Xi))

P(Xi) = seria la probabilidad
log_2(1/P(Xi)) seria la surprise

H(X|Y) < H(X) –> hay leaking de informacion

33
Q

Explicar brevemente las diferencias entre ACLs y CAP.
a-¿ Cuáles son las variantes específicas a definir en los ACLs en relación a la administración de los posibles conflictos o la administración de los valores por defecto ?
b- ¿ En qué situación concreta es preferible la utilización de CAPs en vez de ACL ?
Ejemplos.

A

CAP
Las listas de capacidades representan a las filas de una matriz de acceso
si un usuario no tiene definido su nivel de acceso a un objeto, significa que este no tiene acceso.
A diferencia de los ACLs, el sistema no controla a estos datos. Deben implementarse mecanismos de protección para evitar que un usuario altere o cree capacidades nuevas. Esto se puede implementar con marcas de bits controladas por hardware (tags) o segmentos protegidos de memoria que solo permiten lectura (paging).

a- las variantes para la administracion de los posibles conflictos son Grant-All y First-Rule. Para la administracion de los valores por defecto son override y augment

b- Si alice quiere que todos sus archivos sean leidos por todos excepto berto. Es conveniente C-Lists. C-Lists estan enfocados en el objeto en si y no en los usuarios. Si queremos poner que “accedan todos”. conviene darle algo a todos que represente que pueden acceder al objeto (exepto a Berto). Por ejemplo, los google docs compartidos funcionan asi (el link seria ese algo) y eso permite que hayan accesos anonimos, porque de haber un ACL, habria que listar uno por uno todos las personas que podrian acceder y no seria posible usar ususarios anonimos (o habria que generar una categoria generica “anonimo” y agregarla al ACL)

34
Q

Lista completa de vulnerabilidades

A

Lista completa de vulnerabilidades
- SQL injection: toman inputs de usuarios y no los validan.
- OS command injection: similar al de SQL pero ejecutan comandos en el SO de la víctima.
- Buffer overflow: El programa carga un buffer sin verificar si se llena. Se intenta escribir zonas de memoria fuera del alcance del buffer.
- Cross-site scripting: Dejar codigo ejecutable en webs ajenas.
- Missing authentication: Funciones críticas que no piden autenticación.
- Missing authorization: Funciones críticas no verifican autorización de un usuario.
- Use of hard-coded credentials
- Missing encryption of sensitive data
- Unrestricted upload of files
- Execution with unnecessary privileges
- Cross Site Request Forgery: aceptar requests que no son de nuestro dominio.Se utilizan las cookies de un usuario logueado en un sitio web para hacer requests en su nombre. Se soluciona con la generación de un antiforgery-token(CORS).
- Path traversal: modificar el path para buscar otros recursos.
- Download of code without integrity check
- Incorrect authorization
- Inclusion of Functionality from Untrusted Control Sphere
- Incorrect Permission Assignment for Critical Resource
- Use of Potentially Dangerous Function
- Use of a Broken or Risky Cryptographic Algorithm
- Incorrect Calculation of Buffer Size
- Improper Restriction of Excessive Authentication Attempts
- URL Redirection to Untrusted Site (‘Open Redirect’)
- Uncontrolled Format String
- Integer Overflow or Wraparound
- Use of a One-Way Hash without a Salt

35
Q

Fórmula de Anderson

A

P≥ G* T / N

n espacio de las passwords
t tiempo que tengo para probarlas
p probabilidad de dencontrar password
g cantidad de passwords que puedo probar en el T dicho

Fórmula de Anderson
Relaciona la estructura de una clave, la capacidad del atacante y la probabilidad que tiene de ser rota.

36
Q

¿Es v alido almacenar esas contrasenas en una base de datos con SHA-256? ¿ Por que ?

A

Se asume que el termino valido se refiere a lo mas seguro quqe se puede hacer. Esta opcion no es valida porque las funciones de hash son deterministicas. Si alguien roba la base de datos el atacante puede ver si 2 personas tienen la misma contrasena, mismo hash. No es seguro. Opcion posible: pbkdf2

37
Q

Ataques a un Sistema de Autenticación

A

Ataques Offline: El atacante tiene acceso a la base de datos y a las funciones de complementación. Luego prueba varias entradas de la información de autenticación, genera su información complementaria y la compara con la almacenada en la base de datos.
Ataques Online: El atacante prueba con varias entradas de la información de autenticación.

38
Q

Selección de Claves

A

A la hora de elegir una contraseña, hay 3 formas principales:

  • Se genera una clave aleatoria. Esto es ideal, ya que todas las opciones son equiprobables, pero es difícil de memorizar para el usuario.
  • Se genera una clave pronunciable. Estas incluyen palabras sin sentido, pero formadas por fonemas. Estas son fáciles de memorizar pero el espacio de claves se ve muy reducido.
  • El usuario genera su clave. El usuario puede elegir cualquier clave, pero tiende a elegir claves que son fáciles de adivinar.
39
Q

Mejoras en claves

A

Revisión proactiva de claves: evita claves fáciles.
Expiración de claves.
Salting: introducir una perturbación en f(a) para que el atacante no pueda correr varias cuentas en paralelo.
A cada forma de almacenar la información, le agrego una perturbación.
No tiene que ser aleatoria, solo diferente para cada usuario.
Si obtengo la f(a) de uno, no me sirve la misma para el otro, tengo que usar otra.

40
Q

PBKDF2

A

Una función para encriptar las contraseñas que tiene contempladas todas las contramedidas para que a un atacante le sea difícil la fuerza bruta.
Uso obligatorio de salt.
Aplica muchas veces la función elegida (MAC o de cifrado).
Luego hace un xor entre todas las aplicaciones.
Siempre calcular desde el servidor, sino la información complementaria se convierte en la clave.

41
Q

Challenge - Response

A

Challenge - Response
Generalmente autenticar a un usuario remoto require que se énvienles las claves hasta el servidor. Esto require un canal seguro, y ser utilizado en una comunicación no segura puede comprometer a la calve.

Este método viene a solucionar este problema, al no enviar la clave directamente.
La idea es que el servidor le envíe un desafío al cliente y este deba resolverlo, pero sin enviar su contraseña.

42
Q

OneTimePassword

A

OTP
Este método consiste en generar claves que solo sirvan una vez. Para esto tanto el cliente como el servidor comparten un secreto
y un contador

Hay dos variantes de este método:

HOTP: OTP basado en hmac. Este método tiene un contador que se incrementa en cada uso, pero requiere que ambos dispositivos estén sincronizados. También es común implementar throtling para asegurar que los clientes sigan sincronizados.

TOPT: Time based OTP. Este método utiliza timestamps como su contador. Este mecanismo siempre mantiene a los clientes sincronizados

43
Q

Multi-Factor Authentication

A

Multi-Factor Authentication
Consiste en requerir dos o más factores de diferente tipo a la hora de iniciar sesión, ya que si son del mismo tipo, ambos factores son susceptibles al mismo tipo de ataques. Aunque se puede usar cualquier cantidad de factores, se recomienda solo utilizar dos ya que el nivel de seguridad es lo suficientemente alto.

44
Q

Autenticación Remota (SSO)

A

Autenticación Remota (SSO)
Consiste en la delegación de la autenticación a un sistema externo. Hoy en dia esta implementado utilizando OpenID Connect, una plataforma open source basada en OAuth2.

itba (7 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions