никогда нельзя доверять входному потоку системы»
триадой CIA» (confidentiality, integrity, availability – конфиденциальность, целостность и доступность) (рис. 1.1).
Существует несколько методов моделирования угроз, но наиболее популярными являются деревья атак[41], STRIDE[42] и PASTA[43]
(«сниффинг» сетевого трафика)
«Засыпка перцем», или по-криптографически «перец»[22], имеет общие черты с солью: его тоже нужно добавлять к паролю до хеширования и создавать с помощью безопасного генератора случайных чисел. Однако, в отличие от соли, перец является секретом и не может храниться в базе данных, следовательно, его размещают в тайнике. Он должен быть довольно длинным: состоять как минимум из 32 символов (но желательно из 128). Ко всему прочему, перец уникален для каждого приложения, но одинаков для всех его пользователей.
Рабочий фактор означает повторение алгоритма хеширования X раз, где X – это количество итераций
атакой методом подстановки учетных данных с использованием радужных таблиц
Засаливание – это добавление уникальной длинной строки к значению перед хешированием с целью увеличения энтропии и усложнения для потенциального злоумышленника взлома или угадывания пароля.
Всегда используйте сессионные файлы cookie.
