Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web
tag

autenticação

4 artigos com esta tag

2026-06-28

O que é uma passkey? Login sem senha e sem nada para roubar

Uma passkey é um login sem segredo compartilhado. Seu dispositivo assina com uma chave privada mais biometria e o servidor guarda só a chave pública correspondente. Assim um vazamento não pode ser abusado, e a assinatura está vinculada ao domínio — não se completa em site falso, sendo estruturalmente resistente a phishing. Mais segura que senha + código SMS; migre primeiro as contas importantes.

2026-06-27

O que é hashing de senha? Armazenar senhas com segurança usando uma transformação irreversível

Hashing de senha significa armazenar uma senha como uma transformação de mão única, não reversível. Nunca armazene texto puro. Diferente da criptografia, você não consegue descriptografá-la de volta — esse é o ponto. Mas MD5/SHA-256 puro cai diante de rainbow tables e força bruta. A correção: um sal por usuário mais um hash deliberadamente lento (bcrypt/Argon2/scrypt). Não faça o seu próprio — use a função padrão.

2026-06-27

Como armazenar senhas com segurança — a forma certa de fazer hash e salt

Um guia prático para armazenar senhas com segurança no servidor. Entenda por que texto puro, criptografia e hashes crus falham e então convirja para uma resposta: um salt por usuário mais um hash deliberadamente lento (Argon2id recomendado, bcrypt/scrypt como alternativas). Não invente o seu — use a função padrão, eleve o custo com o tempo e migre hashes fracos refazendo o hash no login.

2026-06-12

O que é um JWT (JSON Web Token)? Como funciona o passe assinado e como usá-lo com segurança

Um JWT é um 'passe' à prova de adulteração que um servidor emite assinando-o. Ele tem três partes — header.payload.signature — e o servidor verifica a assinatura para confirmar a autenticidade. Cuidado com: (1) sempre verifique a assinatura e fixe o alg esperado (rejeite alg:none); (2) qualquer pessoa pode ler o conteúdo, então não coloque segredos nele; (3) mantenha a expiração curta e tenha uma estratégia de revogação. Decodificar (ler) e verificar (checar autenticidade) são coisas diferentes.

← Todas as tags