Medidas de Segurança Adotadas

O Sauron utiliza dois frameworks para garantir a autenticação dos usuários e a autorização dos Sistemas cadastrados no ambiente de SSO(Single Signin On) do Sauron.

Para garantir a autenticação do usuário, o Sauron utiliza AspNet Identity, um framework da Microsoft desenvolvido para solucionar os problemas de autenticação em aplicações .NET. O AspNet Identity é baseado no middleware OWIN(Interface web Aberta para .NET), e toda parte da autenticação e autorização é baseada em middlewares disponibilizada pela
Microsoft e por terceiros.

Para proteção de senhas de usuário, o AspNet Identity usa o algoritmo PBKDF2 com HMAC-SHA256(um algoritmo de hash mais lento que oferece mais proteção contra ataques de força bruta). Um salt de 128 bit(para evitar ataques de Rainbown Table), uma subchave de 256 bits e 10.000 iterações.

O AspNet Identity também coíbe ataques de força bruta, bloqueando o acesso do usuário após o número limite de tentativas erradas. Tudo isso pode ser customizado.

O segundo Framework utilizado pelo Sauron é o Identity Server, um framework open source baseado em OpenId Connect que garante que aplicações em diferentes tecnologias possam usar o mesmo servidor de autenticação e autorização.

Configurado para trabalhar junto com AspNet Identity, o Identity Server provê das informações de usuário mantidas pelo AspNet Identity para gerenciar o controle das informações a serem repassadas durante a autenticação do usuário.

O Identity Server utiliza JWT(Json Web Token) para geração de Bearer Tokens, a utilização do JWT permite o compartilhamento entre diversas aplicações com segurança. O Identity Server utilizar uma par de chaves assimétricas para assinar e validar JWTs. Esse
material chave é empacotado por uma chave RSA e o algoritimo de assinatura utilizado é o RS512. Tudo isso pode ser customizado.