什么是最安全的Devise配置？

Question

32

我即将在我们公司为处理敏感信息的员工设置一个仅限内部使用的Rails应用程序。该应用程序将有防火墙、物理安全措施等。我目前关注的是应用程序的登录过程。

我想使用Devise进行身份验证。Devise的最安全配置是什么？

我考虑执行以下操作：

以下是我不确定的一些具体事项，其中包括从devise.rb中引用的内容:

Peppers. Devise有一个选项可以"设置一个pepper来生成加密密码"。我的理解是，这是一个单个的应用程序特定值，它会在哈希之前将类似于"password123"这样的愚蠢密码转换成类似于"password123K#(!@akdlwekdf"或"*%!kd39gpassword123"之类的值。这旨在防止彩虹表攻击，但是根据这篇文章，它不如每个密码的唯一盐。然而，这篇文章和这篇论文称bcrypt已内置盐。在使用bcrypt时，使用pepper是否真的有用？我可以，并且需要也能有一个salt列吗？

拉伸(cost)。根据这个问题，bcrypt的默认密码哈希成本为10。基于我想使用工作因素(work factor)为12，这样合理吗？

密码长度。通常来说，较长的密码更安全，但我不希望它太难以记忆，用户只能将其写在纸上。如果我们使用bcrypt，密码长度是否很重要？

SSL cookies。对于启用SSL的公共应用程序，将cookie标记为“仅可通过HTTPS传输”可防止像Firesheep那样的攻击。但我不确定为内部应用程序获得安全证书是否有意义。这样做是否愚蠢？

还有什么遗漏的吗？

- Nathan Long

2

SSL并不愚蠢。在通过网络发送登录凭证时，它始终非常重要。 - user229044

4

我有同样的问题。你能否发布一个自我回答，分享你学到了什么以及你使用了什么？ - KobeJohn

2个回答

4

关于密码，你可以查看https://github.com/bitzesty/devise_zxcvbn，它可以拒绝熵弱的密码，并检查是否存在已知的破解密码。

- MatthewFord

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- chris · Accepted Answer

辣椒: 是的，你说得对。如果使用盐，则添加辣椒不会增加太多的安全性。

拉伸: 12是合理的，但bcrypt仅确保恒定时间。您应考虑使用更新的 scrypt，因为它允许您指定恒定时间和要使用的内存量。在密码学上，bcrypt 和 scrypt 大致相同，但是 scrypt 使暴力破解更加困难。

密码长度: 强制任何类型的密码规则都会降低密码的熵。唯一的限制应该是最小长度，并且许多研究建议至少8个字符。

SSL Cookies: 如果可以，请使用它们。安全始终应该从一开始就构建，而不是后来添加。您永远无法确定谁可能在嗅探您的内部网络。仅因为您认为没有外部人可以嗅探数据，这并不意味着内部员工不会出于某种原因进行嗅探。您有责任保护自己的员工免受内部威胁和外部威胁。