Cuidando bem das senhas

•

0 gostou•105 visualizações

Vanildo Souto Mangueira

Palestra do dia 07/12/2017 às 14:30 na PHPConference http://www.phpconference.com.br/trabalho/detalhar-trabalho/id/33

Tecnologia

SENHA É UMA FORMA DE
GARANTIR QUE O USUÁRIO É
QUEM DIZ QUE É, MEDIANTE A
ALGO QUE ELE SABE.

A política de senha é um conjunto de regras
destinadas a aumentar a segurança de computadores,
"forçando" os usuários a utilizarem senhas fortes e
usá-las corretamente.

ELAS INCLUEM:
Uso de caracteres especiais ($#!%...) na composição
da senha
Senhas extensas
Troca da senha a cada x período

$TAMANHO MINIMO if (mb_strlen($senha) < 10) { throw new Exception("Escolha uma senha com mais de 10 digitos") }$

NÃO FAÇA VALIDAÇÃO DE
SENHA SOMENTE NO CLIENTE
O cliente pode desligar o javascript, ou utilizar outros
meios para tentar acessar seu login

PROTEJA-SE CONTRA CSRF
(CROSS-SITE REQUEST
FORGERY)
)
https://www.owasp.org/index.php/Cross-
Site_Request_Forgery_(CSRF

GUARDE TENTATIVAS DE LOGIN
NO BANCO DE DADOS
Quando atingir um certo número de tentativas, joga
um captcha, bloqueie o acesso por x tempo...

USE UMA LISTA DE SENHAS
"FRACAS"
http://weakpass.com/

USE A BIBLIOTECA DE SENHAS!
$hash = password_hash($senha, PASSWORD_BCRYPT);
// $hash = $2y$10$NEbyGmm00VREYhxGUnas3.vvmfGEQh5kXzxb3RP4FFQZr2xW

$VERIFICAR A SENHA! if (password_verify($senha, $hash)) { echo "senha correta"; }$

CUSTO!
$hash = password_hash($senha, PASSWORD_BCRYPT, [
'cost' => 12 // Valor padrão é 10
]);

$VERIFICAR SE NECESSÁRIO FAZER HASH NOVAMENTE if (password_verify($senha, $hash)) { // Verifica a senha if (password_needs_rehash($hash, PASSWORD_BCRYPT, ['cost' => 14] $novo_hash = password_hash($senha, PASSWORD_BCRYPT, ['cost' => } }$

USE AUTENTICAÇÃO EM DUAS
ETAPAS
Você pode mandar um email para o cliente, sms ou
telefone.
(Authy)
http://www.totalvoice.com.br/autenticacao-em-2-
fatores/
https://www.twilio.com

Gerenciadores de senhas:
PHP
Imagens:
https://www.dashlane.com/
https://1password.com/
https://lastpass.com/
http://keepass.info/
http://php.net/manual/en/function.mb-strlen.php
http://php.net/manual/en/book.password.php
https://xkcd.com/936/
https://www. ickr.com/photos/formalfallacy/205716

OBRIGADO
Telegram: @vanildo_souto
Email: vanildo.toneladas@gmail.com
Blog: http://blog.toneladas.com.br

Mais conteúdo relacionado

Último

Realizarei uma breve introdução sobre o ecossistema do Amazon Elastic Kubernetes Service (EKS) tendo em vista o que o serviço pode entregar. A palestra será dedicada à realização de assessements em clusters EKS e a implementação de práticas essenciais em Kubernetes, desde a implementação, configuração, desempenho e finanças. Explicarei o que é o assessements, em um formato hands-on utilizarei ferramentas open source para dar visibilidade ao ambiente e a partir dos relatórios gerados, como ele pode pavimentar o caminho para adoção de boas práticas no kubernetes de acordo com o nível de maturidade das equipes de DevOps e Cloud. Aqui estão alguns pontos que considerarei durante a avaliação: Introdução ao EKS: Uma visão abrangente do Amazon EKS e suas vantagens para orquestração de contêineres. Assessment em Kubernetes: Como avaliar efetivamente o desempenho e a eficiência de seus clusters EKS, utilizando ferramentas open source que não requerem instalação no cluster. As ferramentas utilizadas serão: popeye, rancher, pluto, kube-capacity e kubectl. Capacidade e Setup EKS: A capacidade e o setup eficientes são fundamentais para otimizar o desempenho do Kubernetes. Ao dimensionar a capacidade, é crucial entender as demandas da aplicação e provisionar recursos adequadamente. O setup adequado inclui a configuração do cluster, nós e redes de maneira coesa. Exemplo: configuração e avaliação de nodegroups, dimensionamento de capacidade, utilização de instâncias spot para economizar recursos financeiros, como proceder diante da necessidade de uma atualização, configuração de backup, visão sobre storage e se há monitoramento voltado para o cluster e etc. Boas práticas voltadas ao EKS Boas práticas voltadas à definição de aplicações para Kubernetes Arquitetura do Cluster: Avaliação da arquitetura do cluster Kubernetes, incluindo o número de nós (nodes), a distribuição de carga e a configuração de alta disponibilidade. Configuração: Revisão das configurações do Kubernetes para garantir que estejam alinhadas com as melhores práticas e requisitos específicos do ambiente. Monitoramento e Logging: Avaliação das soluções de monitoramento e logging para garantir a visibilidade adequada sobre o estado e o desempenho do cluster. Atualizações e Patches: Verificação do processo de atualização e aplicação de patches para garantir que o cluster esteja utilizando versões seguras e estáveis do Kubernetes. Escalabilidade: Avaliação da capacidade do cluster de escalar horizontalmente para lidar com aumentos na carga de trabalho. Gerenciamento de Aplicações: Revisão das práticas e ferramentas utilizadas para implantar e gerenciar aplicações no Kubernetes.

Assessement Boas Praticas em Kubernetes.pdf

Natalia Granato

LOGÍSTICA EMPRESARIAL — ATIVIDADE DE ESTUDO 1 Olá, estudante! Iniciamos, agora, a Atividade 1. Prepare-se para colocar em prática os conceitos estudados durante a disciplina! Caso surjam dúvidas, não hesite em contatar os professores da disciplina. Desejamos sucesso na sua atividade! "A gestão da cadeia de abastecimento, também conhecida como Supply Chain Management, envolve as práticas gerenciais necessárias para que todas as empresas agreguem valor ao cliente ao longo de todo o processo, desde a fabricação dos materiais até a distribuição e entrega final dos bens e serviços (MARTINS; LAUGENI, 2015, p. 189). Essa abordagem busca integrar os diversos atores da cadeia, proporcionando uma visão abrangente e contínua de todo o processo produtivo, desde a aquisição da matéria-prima até a entrega ao cliente final. A evolução do supply chain culminou na concepção da cadeia logística integrada. a) Relacione as fases de evolução do Supply Chain Management, apresentando suas principais características. b) Descreva, de forma detalhada, o fluxo de informação da Logística Integrada. c) Quais estratégias as empresas podem adotar para integrar de forma eficaz a tecnologia da informação na cadeia logística?

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx

2m Assessoria

Boas práticas de programação com Object Calisthenics

Danilo Pinotti

No mundo digital atual, a informação é considerada uma das principais matérias-primas para o desenvolvimento econômico e social. Com a evolução tecnológica e a disseminação da internet, a quantidade de dados gerados e disponíveis diariamente cresce de forma exponencial. Nesse contexto, a gestão da informação assume um papel fundamental para as organizações, uma vez que permite a captação, armazenamento, processamento, análise e disseminação dos dados de forma estruturada e eficiente. Saes, Danillo Xavier. Gestão da Informação. Maringá-Pr.: UniCesumar, 2019. [Unidade I, p. 16 a 28] Para que possamos construir uma reflexão significativa sobre a gestão da informação no mundo organizacional, vamos realizar a presente atividade em 2 momentos. 1. Defina e diferencie: DADO, INFORMAÇÃO e CONHECIMENTO. 2. Faça uma reflexão sobre o uso da informação no contexto organizacional que está inserido na sociedade do conhecimento, destacando qual a relevância do uso das tecnologias digitais como apoio para a gestão da informação.

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx

2m Assessoria

A margem de contribuição é uma medida fundamental para entender a lucratividade de um produto, serviço, departamento ou da empresa como um todo. Ela representa o valor que sobra da receita depois de subtrair os custos e despesas variáveis associados à produção ou venda desse produto ou serviço. Essa quantia é chamada de "margem de contribuição" porque é a parte do dinheiro que efetivamente contribui para cobrir os custos fixos e gerar lucro. Fonte: FRAGALLI, Adriana Casavechia; CASTRO, Silvio Cesar de. Custos da Produção. Maringá - PR.: Unicesumar, 2022. Dado o contexto fornecido sobre os Margem de Contribuição dentro de uma empresa, é possível expandir a análise para que seja apurada de diferentes formas dentro de uma organizacional. Essas apurações podem ser (1) Global da Empresa, (2) Global de uma filial, (3) Divisão de Negócios, (4) Departamental, (5) Total por produto e (6) Unitário. Neste sentido, explique como cada uma dessas apurações consiste no contexto prático de margem de contribuição.

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx

2m Assessoria

Padrões de Projeto: Proxy e Command com exemplo

Danilo Pinotti

Destaque

Content Methodology: A Best Practices Report (Webinar)

contently

How to Prepare For a Successful Job Search for 2024

Albert Qian

A report by thenetworkone and Kurio. The contributing experts and agencies are (in an alphabetical order): Sylwia Rytel, Social Media Supervisor, 180heartbeats + JUNG v MATT (PL), Sharlene Jenner, Vice President - Director of Engagement Strategy, Abelson Taylor (USA), Alex Casanovas, Digital Director, Atrevia (ES), Dora Beilin, Senior Social Strategist, Barrett Hoffher (USA), Min Seo, Campaign Director, Brand New Agency (KR), Deshé M. Gully, Associate Strategist, Day One Agency (USA), Francesca Trevisan, Strategist, Different (IT), Trevor Crossman, CX and Digital Transformation Director; Olivia Hussey, Strategic Planner; Simi Srinarula, Social Media Manager, The Hallway (AUS), James Hebbert, Managing Director, Hylink (CN / UK), Mundy Álvarez, Planning Director; Pedro Rojas, Social Media Manager; Pancho González, CCO, Inbrax (CH), Oana Oprea, Head of Digital Planning, Jam Session Agency (RO), Amy Bottrill, Social Account Director, Launch (UK), Gaby Arriaga, Founder, Leonardo1452 (MX), Shantesh S Row, Creative Director, Liwa (UAE), Rajesh Mehta, Chief Strategy Officer; Dhruv Gaur, Digital Planning Lead; Leonie Mergulhao, Account Supervisor - Social Media & PR, Medulla (IN), Aurelija Plioplytė, Head of Digital & Social, Not Perfect (LI), Daiana Khaidargaliyeva, Account Manager, Osaka Labs (UK / USA), Stefanie Söhnchen, Vice President Digital, PIABO Communications (DE), Elisabeth Winiartati, Managing Consultant, Head of Global Integrated Communications; Lydia Aprina, Account Manager, Integrated Marketing and Communications; Nita Prabowo, Account Manager, Integrated Marketing and Communications; Okhi, Web Developer, PNTR Group (ID), Kei Obusan, Insights Director; Daffi Ranandi, Insights Manager, Radarr (SG), Gautam Reghunath, Co-founder & CEO, Talented (IN), Donagh Humphreys, Head of Social and Digital Innovation, THINKHOUSE (IRE), Sarah Yim, Strategy Director, Zulu Alpha Kilo (CA).

Social Media Marketing Trends 2024 // The Global Indie Insights

Kurio // The Social Media Age(ncy)

The search marketing landscape is evolving rapidly with new technologies, and professionals, like you, rely on innovative paid search strategies to meet changing demands. It’s important that you’re ready to implement new strategies in 2024. Check this out and learn the top trends in paid search advertising that are expected to gain traction, so you can drive higher ROI more efficiently in 2024. You’ll learn: - The latest trends in AI and automation, and what this means for an evolving paid search ecosystem. - New developments in privacy and data regulation. - Emerging ad formats that are expected to make an impact next year. Watch Sreekant Lanka from iQuanti and Irina Klein from OneMain Financial as they dive into the future of paid search and explore the trends, strategies, and technologies that will shape the search marketing landscape. If you’re looking to assess your paid search strategy and design an industry-aligned plan for 2024, then this webinar is for you.

Trends In Paid Search: Navigating The Digital Landscape In 2024

Search Engine Journal

From their humble beginnings in 1984, TED has grown into the world’s most powerful amplifier for speakers and thought-leaders to share their ideas. They have over 2,400 filmed talks (not including the 30,000+ TEDx videos) freely available online, and have hosted over 17,500 events around the world. With over one billion views in a year, it’s no wonder that so many speakers are looking to TED for ideas on how to share their message more effectively. The article “5 Public-Speaking Tips TED Gives Its Speakers”, by Carmine Gallo for Forbes, gives speakers five practical ways to connect with their audience, and effectively share their ideas on stage. Whether you are gearing up to get on a TED stage yourself, or just want to master the skills that so many of their speakers possess, these tips and quotes from Chris Anderson, the TED Talks Curator, will encourage you to make the most impactful impression on your audience. See the full article and more summaries like this on SpeakerHub here: https://speakerhub.com/blog/5-presentation-tips-ted-gives-its-speakers See the original article on Forbes here: http://www.forbes.com/forbes/welcome/?toURL=http://www.forbes.com/sites/carminegallo/2016/05/06/5-public-speaking-tips-ted-gives-its-speakers/&refURL=&referrer=#5c07a8221d9b

5 Public speaking tips from TED - Visualized summary

SpeakerHub

Everyone is in agreement that ChatGPT (and other generative AI tools) will shape the future of work. Yet there is little consensus on exactly how, when, and to what extent this technology will change our world. Businesses that extract maximum value from ChatGPT will use it as a collaborative tool for everything from brainstorming to technical maintenance. For individuals, now is the time to pinpoint the skills the future professional will need to thrive in the AI age. Check out this presentation to understand what ChatGPT is, how it will shape the future of work, and how you can prepare to take advantage.

ChatGPT and the Future of Work - Clark Boyd

Clark Boyd

Getting into the tech field. what next

Tessa Mero

Google's Just Not That Into You: Understanding Core Updates & Search Intent

Lily Ray

How to have difficult conversations

Rajiv Jayarajah, MAppComm, ACC

Introduction to Data Science

Christy Abraham Joy

Time Management & Productivity - Best Practices

Vit Horky

The six step guide to practical project management If you think managing projects is too difficult, think again. We’ve stripped back project management processes to the basics – to make it quicker and easier, without sacrificing the vital ingredients for success. “If you’re looking for some real-world guidance, then The Six Step Guide to Practical Project Management will help.” Dr Andrew Makar, Tactical Project Management

The six step guide to practical project management

MindGenius

Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...

RachelPearson36

During this webinar, Anand Bagmar demonstrates how AI tools such as ChatGPT can be applied to various stages of the software development life cycle (SDLC) using an eCommerce application case study. Find the on-demand recording and more info at https://applitools.info/b59 Key takeaways: • Learn how to use ChatGPT to add AI power to your testing and test automation • Understand the limitations of the technology and where human expertise is crucial • Gain insight into different AI-based tools • Adopt AI-based tools to stay relevant and optimize work for developers and testers * ChatGPT and OpenAI belong to OpenAI, L.L.C.

Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...

Applitools

12 Ways to Increase Your Influence at Work

GetSmarter

ChatGPT webinar slides

Alireza Esmikhani

More than Just Lines on a Map: Best Practices for U.S Bike Routes

Project for Public Spaces & National Center for Biking and Walking

Has your project been caught in a storm of deadlines, clashing requirements, and the need to change course halfway through? If yes, then check out how the administration team navigated through all of this, relocating 160 people from 3 countries and opening 2 offices during the most turbulent time in the last 20 years. Belka Games’ Chief Administrative Officer, Katerina Rudko, will share universal approaches and life hacks that can help your project survive unstable periods when there seem to be too many tasks and a lack of time and people.

Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...

DevGAMM Conference

Barbie - Brand Strategy Presentation

Erica Santiago

According to the latest State of the American Manager report from Gallup, employees who have regular meetings with their managers are almost three times as likely to be engaged as those who don’t. These regular check-ins keep managers and employees in sync and aligned. Want to see better manager/employee relationships in your organisation? Then make an all-in commitment to 1:1 meetings. Not sure how? You’ve come to the right place. In this webinar with Jamie Resker, Founder and Practice Leader for Employee Performance Solutions (EPS), and Teala Wilson, Talent Management Consultant at Saba Software, you’ll get the inside track on how to hold effective 1:1 meetings, including tips for getting managers on board. • Go beyond discussing the status of everyday work to higher level topics, including recognition, performance, development, and career aspirations • Learn how to decide meeting frequency, what to cover, as well as roles and responsibilities of the manager and employee • Understand how managers can build trust and make it comfortable for employees to provide upward feedback • Unite your organisation with a unified approach to 1:1 meetings Join us for this 1-hour webinar to get practical tips for building better manager-employee relationships with intention and purpose. About the Speakers Jamie Resker - Founder and Practice Leader for Employee Performance Solutions (EPS) Jamie Resker, Practice Leader and Founder of Employee Performance Solutions, is a recognized innovator in performance management. She is the originator of the-the Performance Continuum Feedback Method® and Conversations to Optimize Employee Performance training program; tools and training that reshape communications between managers and employees to drive and align performance. Jamie is on the faculty for the Northeast Human Resources Association, is a contributor to Halogen Software's Talent Space Blog, and is an editorial advisory board member for HR Examiner. Teala Wilson - Senior Consultant, Strategic Services, Saba Software Teala is a Talent Management Consultant at Halogen Software, now a part of Saba Software. She has worked with teams on a national and global level supporting human resources in areas such as performance management, recruitment, employee benefit programs, training and talent development, workforce planning and internal communications. Teala also has a personal passion for visual arts and design. Want to learn more? Join us for an upcoming Product Tour! http://bit.ly/2yitfqu

Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well

Saba Software

Destaque (20)

Content Methodology: A Best Practices Report (Webinar)

How to Prepare For a Successful Job Search for 2024

Social Media Marketing Trends 2024 // The Global Indie Insights

Trends In Paid Search: Navigating The Digital Landscape In 2024

5 Public speaking tips from TED - Visualized summary

ChatGPT and the Future of Work - Clark Boyd

Getting into the tech field. what next

Google's Just Not That Into You: Understanding Core Updates & Search Intent

How to have difficult conversations

Introduction to Data Science

Time Management & Productivity - Best Practices

The six step guide to practical project management

Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...

Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...

12 Ways to Increase Your Influence at Work

ChatGPT webinar slides

More than Just Lines on a Map: Best Practices for U.S Bike Routes

Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...

Barbie - Brand Strategy Presentation

Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well

Cuidando bem das senhas

1. CUIDANDO BEM DAS SENHAS

2. SENHA É UMA FORMA DE GARANTIR QUE O USUÁRIO É QUEM DIZ QUE É, MEDIANTE A ALGO QUE ELE SABE.

3. A política de senha é um conjunto de regras destinadas a aumentar a segurança de computadores, "forçando" os usuários a utilizarem senhas fortes e usá-las corretamente.

4. ELAS INCLUEM: Uso de caracteres especiais ($#!%...) na composição da senha Senhas extensas Troca da senha a cada x período

5. A MAIORIA DELAS SÃO INEFICAZES!

9. O QUE FAZER?

10. NUM MUNDO IDEAL?

11. TAMANHO MINIMO if (mb_strlen($senha) < 10) { throw new Exception("Escolha uma senha com mais de 10 digitos") }

12. NÃO FAÇA VALIDAÇÃO DE SENHA SOMENTE NO CLIENTE O cliente pode desligar o javascript, ou utilizar outros meios para tentar acessar seu login

13. PROTEJA-SE CONTRA CSRF (CROSS-SITE REQUEST FORGERY) ) https://www.owasp.org/index.php/Cross- Site_Request_Forgery_(CSRF

14. GUARDE TENTATIVAS DE LOGIN NO BANCO DE DADOS Quando atingir um certo número de tentativas, joga um captcha, bloqueie o acesso por x tempo...

15. USE UMA LISTA DE SENHAS "FRACAS" http://weakpass.com/

16. USE A BIBLIOTECA DE SENHAS! $hash = password_hash($senha, PASSWORD_BCRYPT); // $hash = $2y$10$NEbyGmm00VREYhxGUnas3.vvmfGEQh5kXzxb3RP4FFQZr2xW

17. VERIFICAR A SENHA! if (password_verify($senha, $hash)) { echo "senha correta"; }

18. CUSTO! $hash = password_hash($senha, PASSWORD_BCRYPT, [ 'cost' => 12 // Valor padrão é 10 ]);

19. VERIFICAR SE NECESSÁRIO FAZER HASH NOVAMENTE if (password_verify($senha, $hash)) { // Verifica a senha if (password_needs_rehash($hash, PASSWORD_BCRYPT, ['cost' => 14] $novo_hash = password_hash($senha, PASSWORD_BCRYPT, ['cost' => } }

20. USE AUTENTICAÇÃO EM DUAS ETAPAS Você pode mandar um email para o cliente, sms ou telefone. (Authy) http://www.totalvoice.com.br/autenticacao-em-2- fatores/ https://www.twilio.com

21. Gerenciadores de senhas: PHP Imagens: https://www.dashlane.com/ https://1password.com/ https://lastpass.com/ http://keepass.info/ http://php.net/manual/en/function.mb-strlen.php http://php.net/manual/en/book.password.php https://xkcd.com/936/ https://www. ickr.com/photos/formalfallacy/205716

22. OBRIGADO Telegram: @vanildo_souto Email: vanildo.toneladas@gmail.com Blog: http://blog.toneladas.com.br

Cuidando bem das senhas

Recomendados

Recomendados

Mais conteúdo relacionado

Último

Último (6)

Destaque

Destaque (20)

Cuidando bem das senhas