Authentication Security – RUBYSPB

Transcript

1. Безопасность аутентификации веб-приложений Сергей Нартымов Brainspec https://github.com/lest twitter: @just_lest

2. None

3. Хэш с солью

4. None

5. Хэш с солью create_table :users do |t| t.string :name t.string

   :salt t.string :hashed_password end

6. Хэш с солью def self.encrypted_password(password, salt) string_to_hash = password +

   "wibble" + salt Digest::SHA1.hexdigest(string_to_hash) end def create_new_salt self.salt = self.object_id.to_s + rand.to_s end

7. Хэш с солью def password=(pwd) @password = pwd return if

   pwd.blank? create_new_salt self.hashed_password = User.encrypted_password(self.password, self.salt) end

8. Хэш с солью def self.authenticate(name, password) user = self.find_by_name(name) if

   user expected_password = encrypted_password(password, user.salt) if user.hashed_password != expected_password user = nil end end user end

9. has_secure_password

10. create_table :users do |t| t.string :name t.string :password_digest end class

    User < ActiveRecord::Base has_secure_password end

11. user = User.new(name: "david") user.password = "mUc3m00RsqyRe" user.password_digest # =>

    "$2a$10$4LEA7r4YmNHtvlAvHhsYAeZmk/ xeUVtMTYqwIvYY76EW5GUqDiP4." user.save user.authenticate("notright") # => false user.authenticate("mUc3m00RsqyRe") # => user

12. bcrypt

13. bcrypt $2a$10$vI8aWBnW3fID.ZQ4/z идентификатор алгоритма

14. bcrypt $2a$10$vI8aWBnW3fID.ZQ4/zo1G сложность

15. bcrypt $2a$10$vI8aWBnW3fID.ZQ4/zo1G.q1lRps соль

16. bcrypt o1G.q1lRps.9cGLcZEiGDMVr5yUP1KUOYTa

17. bcrypt def password=(unencrypted_password) unless unencrypted_password.blank? @password = unencrypted_password cost =

    ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine::DEFAULT_COST self.password_digest = BCrypt::Password.create(unencrypted_password, cost: cost) end end def authenticate(unencrypted_password) BCrypt::Password.new(password_digest) == unencrypted_password && self end

18. bcrypt def password=(unencrypted_password) unless unencrypted_password.blank? @password = unencrypted_password cost =

    ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine::DEFAULT_COST self.password_digest = BCrypt::Password.create(unencrypted_password, cost: cost) end end def authenticate(unencrypted_password) BCrypt::Password.new(password_digest) == unencrypted_password && self end

19. bcrypt

20. PBKDF2 scrypt bcrypt

21. PBKDF2 scrypt bcrypt

22. Инвалидация сессии

23. Инвалидация сессии user = User.authenticate(params[:name], params[:password]) if user session[:user_id] =

    user.id redirect_to(:action => "index") else flash.now[:notice] = "Invalid user/password combination" end

24. Инвалидация сессии • хранить в сессии данные, которые изменяются при

    изменении пароля • например, соль пароля (так делает devise)

25. Инвалидация сессии def serialize_into_session(record) [record.to_key, record.authenticatable_salt] end def authenticatable_salt encrypted_password[0,29]

    if encrypted_password end

26. Блокировка доступа

27. Блокировка доступа • для пользователя • для IP-адреса

28. Блокировка доступа • CAPTCHA • разблокировка по ссылке из письма

29. Запомнить меня

30. Запомнить меня • добавляем токен и время • храним токен

    в HttpOnly cookie

31. Запомнить меня def remember_me!(extend_period=false) self.remember_token = self.class.remember_token if generate_remember_token? self.remember_created_at

    = Time.now.utc if generate_remember_timestamp?(extend_period) save(:validate => false) if self.changed? end

32. Запомнить меня cookies.signed[remember_key(resource, scope)] = remember_cookie_values(resource) def remember_cookie_values(resource) options =

    { :httponly => true } # ... options.merge!( :value => resource.class.serialize_into_cookie(resource), :expires => resource.remember_expires_at ) end

33. Перебор пользователей

34. • Неверный адрес e-mail или пароль. • Если ваш адрес

    e-mail есть в нашей базе данных, то в течение нескольких минут вы получите письмо с инструкциями по восстановлению вашего пароля.

35. Тайминговые атаки

36. Тайминговые атаки def authenticate! resource = valid_password? && mapping.to.find_for_database_authentication(authentication_hash) return

    fail(:not_found_in_database) unless resource if validate(resource){ resource.valid_password?(password) } resource.after_database_authentication success!(resource) end end

37. Тайминговые атаки user = User.last Benchmark.realtime { user.valid_password?('lolwut') } #

    => 0.321346

38. Восстановление пароля • не стоит генерировать пароль и присылать его

    на почту • лучше генерировать токен и отправлять ссылку, по которой можно задать новый пароль

39. Сложность пароля

40. Сложность пароля validates :password, length: { minimum: 5, maximum: 20

    }

41. SSL

42. SSL startssl.com

43. Двухэтапная аутентификация

44. Google Двухэтапная аутентификация

45. Google Facebook Двухэтапная аутентификация

46. Google Facebook Dropbox Двухэтапная аутентификация

47. Google Facebook AWS Dropbox Двухэтапная аутентификация

48. Google Facebook AWS Dropbox GitHub Двухэтапная аутентификация

49. Open Web Application Security Project • https://www.owasp.org/ • https://www.owasp.org/index.php/ Cheat_Sheets

50. Спасибо https://github.com/lest twitter: @just_lest Сергей Нартымов Brainspec