-
The Copenhagen Book
- The Copenhagen Book es un proyecto gratuito y de código abierto que ofrece lineamientos generales para implementar autenticación en aplicaciones web
- Es mantenido por la comunidad y, aunque a veces puede ser subjetivo o incompleto, busca llenar vacíos en los recursos disponibles en línea
- Se recomienda usarlo junto con la OWASP Cheat Sheet Series
-
Tokens del lado del servidor
- Explica cómo reforzar la seguridad gestionando los tokens del lado del servidor
-
Sesiones
- Explica cómo mantener un estado de autenticación persistente mediante la gestión de sesiones de usuario
-
Autenticación con contraseña
- Ofrece lineamientos relacionados con métodos seguros de autenticación con contraseña
-
Verificación por correo electrónico
- Explica el procedimiento de autenticación de usuarios a través del correo electrónico
-
Restablecimiento de contraseña
- Explica cómo implementar la función de restablecimiento de contraseña
-
Generación de valores aleatorios
- Explica cómo generar valores aleatorios necesarios para la seguridad
-
OAuth
- Explica cómo implementar autenticación usando el protocolo OAuth
-
Autenticación multifactor (MFA)
- Explica cómo reforzar la seguridad mediante MFA
-
WebAuthn
- Explica cómo implementar autenticación web usando WebAuthn
-
Cross-Site Request Forgery (CSRF)
- Explica cómo prevenir ataques CSRF
-
Open Redirect
- Explica cómo prevenir vulnerabilidades de redirección abierta
-
Criptografía
- Explica cómo proteger datos usando técnicas criptográficas
-
ECDSA
- Explica cómo implementar firmas digitales usando el algoritmo ECDSA
-
Enlaces
- Proporciona el repositorio de GitHub, Twitter, la OWASP Cheat Sheet Series y un enlace para donaciones
Resumen de GN⁺
- The Copenhagen Book ofrece una guía integral sobre la implementación de autenticación en aplicaciones web, lo que lo convierte en un recurso útil para desarrolladores
- Cubre diversos métodos de autenticación y técnicas para reforzar la seguridad, ayudando a mejorar la comprensión sobre seguridad
- Usarlo junto con la OWASP Cheat Sheet Series lo hace aún más efectivo y puede contribuir a prevenir vulnerabilidades de seguridad
- Proyectos con funciones similares incluyen varias guías de OWASP y las recomendaciones de seguridad de NIST
1 comentarios
Opiniones de Hacker News
El autor de la biblioteca Lucia sintió que Lucia ya no era adecuada para implementar autenticación, por lo que publicó una serie de guías para reemplazarla
El 90% de los recursos de seguridad son difíciles de entender para quienes no son especialistas, pero esta guía es clara, concisa y accionable
Muchos consejos de seguridad se sienten crípticos y a veces hasta absurdos, pero esta guía ofrece consejos frescos y fáciles de comprender
Estaría bien aclarar si "auth" se refiere a autenticación (authn) o autorización (authz)
Me pareció notable que se mencionara que UUIDv4 tiene mucha entropía, pero puede no ser criptográficamente seguro
Las contraseñas deberían tener al menos 8 caracteres, y se debería usar una biblioteca como zxcvbn para detectar contraseñas débiles
¿Alguien sabe por qué se llama "Copenhagen Book"?
Si implementas autenticación una sola vez, puedes usarla en cualquier parte
Ojalá los sitios web ofrecieran una opción para que "la sesión no expire hasta cerrar sesión"
Excelente guía, gracias