_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

OWASP Top 10: Identification and Authentication Failures

01. 01. 2024 1 min čtení intermediate

Slabá autentizace je vstupní brána do systému. Credential stuffing, session fixation, chybějící MFA — útoky na identitu tvoří většinu bezpečnostních incidentů.

Typické chyby

  • Povolení slabých hesel
  • Chybějící ochrana proti brute force
  • Session ID v URL
  • Neomezená platnost session
  • Chybějící MFA

Bezpečná session

app.config.update( SECRET_KEY=os.environ[‘SECRET_KEY’], SESSION_COOKIE_HTTPONLY=True, SESSION_COOKIE_SECURE=True, SESSION_COOKIE_SAMESITE=’Lax’, PERMANENT_SESSION_LIFETIME=1800, )

Rate limiting

const rateLimit = require(‘express-rate-limit’); const loginLimiter = rateLimit({ windowMs: 15 * 60 * 1000, max: 5, message: { error: ‘Příliš mnoho pokusů.’ }, }); app.post(‘/api/login’, loginLimiter, loginHandler);

TOTP MFA

import pyotp secret = pyotp.random_base32() totp = pyotp.TOTP(secret) uri = totp.provisioning_uri(name=”user@example.com”, issuer_name=”MyApp”)

Ověření

totp.verify(code, valid_window=1)

Klíčový takeaway

Silná hesla + rate limiting + MFA + bezpečné sessions. Používejte proven knihovny, neimplementujte vlastní krypto.

owaspsecurityautentizacemfa

Další know-how

2FA/MFA: proč a jak nastavit

Průvodce dvoufaktorovým ověřením — TOTP, hardware klíče, backup kódy.

Brute Force prevence

Jak chránit login, API a formuláře proti brute force útokům.

JWT best practices — JSON Web Tokens správně

Bezpečné použití JWT. Podpisy, expirace, refresh tokeny, typické chyby.