Seguridad que puedes verificar
Kotauth es código abierto, así que la seguridad es auditable en lugar de simplemente afirmada. Así es como la plataforma protege credenciales, datos y sesiones.
Hashing de contraseñas
Las contraseñas se hashean con bcrypt y un salt por credencial. El texto plano nunca se almacena ni se registra, y los factores de trabajo se ajustan al hardware actual.
Cifrado en reposo
Los secretos sensibles se sellan con AES-256-GCM. Los backups de tenant derivan claves con PBKDF2 a 600k iteraciones antes de cifrar el sobre.
Seguridad de tokens
Tokens de acceso de corta duración, refresh tokens rotativos y detección de replay con revocación de la familia completa cuando se detecta un token reutilizado.
Rate limiting y bloqueo
Los endpoints de autenticación tienen rate limiting, y los fallos repetidos activan el bloqueo de la cuenta. Los intentos TOTP cuentan con su propia protección contra replay y bloqueo.
Aislamiento de tenants
Cada workspace tiene su propio directorio de usuarios, claves de firma RS256 y política CORS. El compromiso de un tenant no puede alcanzar a otro.
Logging de auditoría completo
Más de 65 tipos de eventos se registran en un trail de solo escritura (append-only). Cada acción administrativa es atribuible a un actor, un momento y un origen.
Blindado por defecto
El contenedor viene con configuraciones seguras por defecto, de modo que un despliegue nuevo no sea un blanco fácil. Sin root, sin sistema de archivos escribible, sin escalada de privilegios.
Divulgación responsable
¿Encontraste una vulnerabilidad? Agradecemos la divulgación coordinada. Usa el formulario de contacto con el asunto "Security" y, por favor, no abras un issue público para reportes sensibles. Buscamos confirmar los reportes válidos con rapidez y te mantendremos informado hasta su resolución.
Reportar una vulnerabilidad