A very plausible scenario of credentials sniffer injected through npm dependency chain.
I loved the "I’d see it in your source on GitHub!" section : so scary and true.
On peut facilement se créer l'équivalent d'un token d'authentification avec son smartphone. Il existe des applications respectant un protocole standardisé pour cela: OTP (One Time Password). L'intérêt de l'OTP est que vous n'avez pas besoin de connexion entre votre client OTP (votre smartphone) et le serveur. Ils peuvent générer et contrôler la validité des OTP de manière déconnectée. Ce système peut donc fonctionner même si vous n'avez pas de réseau GSM à portée.
Ce protocole permet de créer un code qui ne sera utilisable qu'une seule fois. Nous allons juste ajouter un champ de saisie dans le formulaire de login. Vous allez voir, ce n'est vraiment pas compliqué.
...password reset feature readily disclosing whether an email address already existed on the site...
Frankly, it's an exception when a site doesn't leak data through one of these enumeration risks in the password reset, registration and login features.
Communauté du Libre partage
Lets test some password breaking tools. Password's are often the weakest link in any system. Testing for weak passwords is an important part of security as
A fast password cracker for Unix, Windows, DOS, BeOS, and OpenVMS, with support for Unix, Windows, and Kerberos AFS passwords, plus a lot more with contributed patches
SecurityXploded is an Infosec Research Organization offering more than 150 FREE Security/Password Recovery Tools, latest Research Articles and FREE Training on Reversing/Malware Analysis