Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
What to Upload to SlideShare
What to Upload to SlideShare
Loading in …3
×
1 of 22

Cuidando bem das senhas

0

Share

Download to read offline

Palestra do dia 07/12/2017 às 14:30 na PHPConference

http://www.phpconference.com.br/trabalho/detalhar-trabalho/id/33

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

Cuidando bem das senhas

  1. 1. CUIDANDO BEM DAS SENHAS
  2. 2. SENHA É UMA FORMA DE GARANTIR QUE O USUÁRIO É QUEM DIZ QUE É, MEDIANTE A ALGO QUE ELE SABE.
  3. 3. A política de senha é um conjunto de regras destinadas a aumentar a segurança de computadores, "forçando" os usuários a utilizarem senhas fortes e usá-las corretamente.
  4. 4. ELAS INCLUEM: Uso de caracteres especiais ($#!%...) na composição da senha Senhas extensas Troca da senha a cada x período
  5. 5. A MAIORIA DELAS SÃO INEFICAZES!
  6. 6. O QUE FAZER?
  7. 7. NUM MUNDO IDEAL?
  8. 8. TAMANHO MINIMO if (mb_strlen($senha) < 10) { throw new Exception("Escolha uma senha com mais de 10 digitos") }
  9. 9. NÃO FAÇA VALIDAÇÃO DE SENHA SOMENTE NO CLIENTE O cliente pode desligar o javascript, ou utilizar outros meios para tentar acessar seu login
  10. 10. PROTEJA-SE CONTRA CSRF (CROSS-SITE REQUEST FORGERY) ) https://www.owasp.org/index.php/Cross- Site_Request_Forgery_(CSRF
  11. 11. GUARDE TENTATIVAS DE LOGIN NO BANCO DE DADOS Quando atingir um certo número de tentativas, joga um captcha, bloqueie o acesso por x tempo...
  12. 12. USE UMA LISTA DE SENHAS "FRACAS" http://weakpass.com/
  13. 13. USE A BIBLIOTECA DE SENHAS! $hash = password_hash($senha, PASSWORD_BCRYPT); // $hash = $2y$10$NEbyGmm00VREYhxGUnas3.vvmfGEQh5kXzxb3RP4FFQZr2xW
  14. 14. VERIFICAR A SENHA! if (password_verify($senha, $hash)) { echo "senha correta"; }
  15. 15. CUSTO! $hash = password_hash($senha, PASSWORD_BCRYPT, [ 'cost' => 12 // Valor padrão é 10 ]);
  16. 16. VERIFICAR SE NECESSÁRIO FAZER HASH NOVAMENTE if (password_verify($senha, $hash)) { // Verifica a senha if (password_needs_rehash($hash, PASSWORD_BCRYPT, ['cost' => 14] $novo_hash = password_hash($senha, PASSWORD_BCRYPT, ['cost' => } }
  17. 17. USE AUTENTICAÇÃO EM DUAS ETAPAS Você pode mandar um email para o cliente, sms ou telefone. (Authy) http://www.totalvoice.com.br/autenticacao-em-2- fatores/ https://www.twilio.com
  18. 18. Gerenciadores de senhas: PHP Imagens: https://www.dashlane.com/ https://1password.com/ https://lastpass.com/ http://keepass.info/ http://php.net/manual/en/function.mb-strlen.php http://php.net/manual/en/book.password.php https://xkcd.com/936/ https://www. ickr.com/photos/formalfallacy/205716
  19. 19. OBRIGADO Telegram: @vanildo_souto Email: vanildo.toneladas@gmail.com Blog: http://blog.toneladas.com.br

×