Rate this post

Thông tin xác thực là công nghệ xác thực được sử dụng rộng rãi nhất. Do việc sử dụng rộng rãi các cặp tên người dùng-mật khẩu, người dùng không còn có thể xử lý đúng thông tin đăng nhập của họ trên vô số ứng dụng được sử dụng.

Các bài viết khác:

Để hỗ trợ người dùng với thông tin đăng nhập của họ, nhiều công nghệ đã xuất hiện:

Các ứng dụng cung cấp chức năng ghi nhớ tôi cho phép người dùng luôn được xác thực trong thời gian dài mà không cần hỏi lại người dùng về thông tin đăng nhập của họ.

Trình quản lý mật khẩu – bao gồm trình quản lý mật khẩu của trình duyệt – cho phép người dùng lưu trữ thông tin đăng nhập của họ một cách an toàn và sau đó đưa chúng vào biểu mẫu người dùng mà không cần bất kỳ sự can thiệp nào của người dùng.

Mục tiêu kiểm tra

Xác thực rằng phiên đã tạo được quản lý an toàn và không gây nguy hiểm cho thông tin đăng nhập của người dùng.

Làm thế nào để kiểm tra

Khi các phương pháp này cung cấp trải nghiệm người dùng tốt hơn và cho phép người dùng quên tất cả thông tin đăng nhập của họ, chúng sẽ tăng diện tích bề mặt tấn công. Một số ứng dụng:

Lưu trữ thông tin xác thực theo cách được mã hóa trong cơ chế lưu trữ của trình duyệt, cơ chế này có thể được xác minh bằng cách làm theo kịch bản thử nghiệm lưu trữ web và thực hiện các kịch bản phân tích phiên. Thông tin xác thực không được lưu trữ theo bất kỳ cách nào trong ứng dụng phía máy khách và phải được thay thế bằng mã thông báo được tạo phía máy chủ.

Tự động đưa thông tin đăng nhập của người dùng có thể bị lạm dụng bởi:

  • Các cuộc tấn công ClickJacking.
  • Các cuộc tấn công CSRF.

Các mã thông báo nên được phân tích theo thời gian tồn tại của mã thông báo, trong đó một số mã thông báo không bao giờ hết hạn và khiến người dùng gặp nguy hiểm nếu những mã thông báo đó bị đánh cắp. Đảm bảo tuân theo kịch bản kiểm tra thời gian chờ của phiên.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo
Call now