The Copenhagen Book: diretrizes gerais para implementar autenticação em aplicações web

 (thecopenhagenbook.com)
7 pontos por GN⁺ 2024-10-11 | 1 comentários | Compartilhar no WhatsApp

  • The Copenhagen Book

    • The Copenhagen Book é um projeto gratuito e open source que fornece diretrizes gerais para implementar autenticação em aplicações web
    • É mantido pela comunidade e, embora às vezes possa ser subjetivo ou incompleto, tem como objetivo preencher lacunas nos recursos online
    • Recomenda-se usá-lo junto com a OWASP Cheat Sheet Series

  • Tokens no lado do servidor

    • Explica como fortalecer a segurança gerenciando tokens no lado do servidor

  • Sessões

    • Explica como manter um estado contínuo de autenticação por meio do gerenciamento de sessões de usuário

  • Autenticação por senha

    • Fornece diretrizes relacionadas a métodos seguros de autenticação por senha

  • Autenticação por e-mail

    • Explica o processo de autenticação de usuário por e-mail

  • Redefinição de senha

    • Explica como implementar a funcionalidade de redefinição de senha

  • Geração de valores aleatórios

    • Explica como gerar valores aleatórios necessários para a segurança

  • OAuth

    • Explica como implementar autenticação usando o protocolo OAuth

  • Autenticação multifator (MFA)

    • Explica como reforçar a segurança por meio de MFA

  • WebAuthn

    • Explica como implementar autenticação web usando WebAuthn

  • Falsificação de requisição entre sites (CSRF)

    • Explica como prevenir ataques de CSRF

  • Open redirect

    • Explica como prevenir vulnerabilidades de open redirect

  • Criptografia

    • Explica como proteger dados usando técnicas de criptografia

  • ECDSA

    • Explica como implementar assinaturas digitais usando o algoritmo ECDSA

  • Links

    • Fornece o repositório no GitHub, Twitter, OWASP Cheat Sheet Series e link de doação

Resumo do GN⁺

  • The Copenhagen Book é um recurso útil para desenvolvedores, pois fornece diretrizes abrangentes sobre a implementação de autenticação em aplicações web
  • Ao cobrir vários métodos de autenticação e técnicas de reforço de segurança, ajuda a ampliar a compreensão sobre segurança
  • Usá-lo junto com a OWASP Cheat Sheet Series o torna ainda mais eficaz e pode contribuir para prevenir vulnerabilidades de segurança
  • Projetos com funcionalidades semelhantes incluem várias diretrizes da OWASP e recomendações de segurança do NIST

Leituras relacionadas

1 comentários

 
GN⁺ 2024-10-11
Comentários no Hacker News

  • O autor da biblioteca Lucia sentiu que Lucia não era mais adequada para implementar autenticação e publicou uma série de guias para substituí-la

    • Disponibilizou uma prévia do guia inicial; foi uma leitura agradável e combina bem com The Copenhagen Book

  • 90% dos recursos de segurança são difíceis de entender para não especialistas, mas este guia é claro, conciso e acionável

    • A parte sobre curvas elípticas ainda é difícil de entender

  • Muitos conselhos de segurança parecem obscuros e às vezes até absurdos, mas este guia traz recomendações refrescantes e fáceis de entender

    • Seria bom adicionar uma seção sobre JWT

  • Seria bom deixar claro se "auth" significa autenticação (authn) ou autorização (authz)

    • Parece que significa autenticação

  • Foi interessante mencionar que UUIDv4 tem muita entropia, mas pode não ser criptograficamente seguro

    • Para a maioria das aplicações isso não é um problema, mas é algo que precisa ser reconhecido

  • Senhas devem ter no mínimo 8 caracteres, e bibliotecas como zxcvbn devem ser usadas para verificar senhas fracas

    • É bom para sites de alta segurança, mas gerar senhas longas para contas descartáveis é incômodo

  • Alguém sabe por que o nome "Copenhagen Book"?

  • Se você implementar autenticação uma vez, poderá usá-la em qualquer lugar

  • Seria bom se os sites oferecessem a opção de "não expirar a sessão até que eu faça logout"

    • A expiração de sessão e o 2FA do GitHub são incômodos, então migrei para o Gitea
    • Se o modelo de segurança não for flexível, você pode perder clientes

  • Excelente guia, obrigado