Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cuidando bem das senhas

69 views

Published on

Palestra do dia 07/12/2017 às 14:30 na PHPConference

http://www.phpconference.com.br/trabalho/detalhar-trabalho/id/33

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Cuidando bem das senhas

  1. 1. CUIDANDO BEM DAS SENHAS
  2. 2. SENHA � UMA FORMA DE GARANTIR QUE O USU�RIO � QUEM DIZ QUE �, MEDIANTE A ALGO QUE ELE SABE.
  3. 3. A pol�tica de senha � um conjunto de regras destinadas a aumentar a seguran�a de computadores, "for�ando" os usu�rios a utilizarem senhas fortes e us�-las corretamente.
  4. 4. ELAS INCLUEM: Uso de caracteres especiais ($#!%...) na composi��o da senha Senhas extensas Troca da senha a cada x per�odo
  5. 5. A MAIORIA DELAS S�O INEFICAZES!
  6. 6. O QUE FAZER?
  7. 7. NUM MUNDO IDEAL?
  8. 8. TAMANHO MINIMO if (mb_strlen($senha) < 10) { throw new Exception("Escolha uma senha com mais de 10 digitos") }
  9. 9. N�O FA�A VALIDA��O DE SENHA SOMENTE NO CLIENTE O cliente pode desligar o javascript, ou utilizar outros meios para tentar acessar seu login
  10. 10. PROTEJA-SE CONTRA CSRF (CROSS-SITE REQUEST FORGERY) ) https://www.owasp.org/index.php/Cross- Site_Request_Forgery_(CSRF
  11. 11. GUARDE TENTATIVAS DE LOGIN NO BANCO DE DADOS Quando atingir um certo n�mero de tentativas, joga um captcha, bloqueie o acesso por x tempo...
  12. 12. USE UMA LISTA DE SENHAS "FRACAS" http://weakpass.com/
  13. 13. USE A BIBLIOTECA DE SENHAS! $hash = password_hash($senha, PASSWORD_BCRYPT); // $hash = $2y$10$NEbyGmm00VREYhxGUnas3.vvmfGEQh5kXzxb3RP4FFQZr2xW
  14. 14. VERIFICAR A SENHA! if (password_verify($senha, $hash)) { echo "senha correta"; }
  15. 15. CUSTO! $hash = password_hash($senha, PASSWORD_BCRYPT, [ 'cost' => 12 // Valor padr�o � 10 ]);
  16. 16. VERIFICAR SE NECESS�RIO FAZER HASH NOVAMENTE if (password_verify($senha, $hash)) { // Verifica a senha if (password_needs_rehash($hash, PASSWORD_BCRYPT, ['cost' => 14] $novo_hash = password_hash($senha, PASSWORD_BCRYPT, ['cost' => } }
  17. 17. USE AUTENTICA��O EM DUAS ETAPAS Voc� pode mandar um email para o cliente, sms ou telefone. (Authy) http://www.totalvoice.com.br/autenticacao-em-2- fatores/ https://www.twilio.com
  18. 18. Gerenciadores de senhas: PHP Imagens: https://www.dashlane.com/ https://1password.com/ https://lastpass.com/ http://keepass.info/ http://php.net/manual/en/function.mb-strlen.php http://php.net/manual/en/book.password.php https://xkcd.com/936/ https://www. ickr.com/photos/formalfallacy/205716
  19. 19. OBRIGADO Telegram: @vanildo_souto Email: vanildo.toneladas@gmail.com Blog: http://blog.toneladas.com.br

×