Seguridad

Seguridad que puedes verificar

Kotauth es código abierto, así que la seguridad es auditable en lugar de simplemente afirmada. Así es como la plataforma protege credenciales, datos y sesiones.

Hashing de contraseñas

Las contraseñas se hashean con bcrypt y un salt por credencial. El texto plano nunca se almacena ni se registra, y los factores de trabajo se ajustan al hardware actual.

Cifrado en reposo

Los secretos sensibles se sellan con AES-256-GCM. Los backups de tenant derivan claves con PBKDF2 a 600k iteraciones antes de cifrar el sobre.

Seguridad de tokens

Tokens de acceso de corta duración, refresh tokens rotativos y detección de replay con revocación de la familia completa cuando se detecta un token reutilizado.

Rate limiting y bloqueo

Los endpoints de autenticación tienen rate limiting, y los fallos repetidos activan el bloqueo de la cuenta. Los intentos TOTP cuentan con su propia protección contra replay y bloqueo.

Aislamiento de tenants

Cada workspace tiene su propio directorio de usuarios, claves de firma RS256 y política CORS. El compromiso de un tenant no puede alcanzar a otro.

Logging de auditoría completo

Más de 65 tipos de eventos se registran en un trail de solo escritura (append-only). Cada acción administrativa es atribuible a un actor, un momento y un origen.

Hardening de ejecución

Blindado por defecto

El contenedor viene con configuraciones seguras por defecto, de modo que un despliegue nuevo no sea un blanco fácil. Sin root, sin sistema de archivos escribible, sin escalada de privilegios.

Contenedor non-root
Se ejecuta como UID 10001 con no-new-privileges activado.
Sistema de archivos de solo lectura
Superficie de ejecución inmutable con montajes de escritura explícitos.
Compatible con air-gapped
No requiere llamadas salientes para funcionar en redes aisladas.
Claves bootstrap desde env
Las API keys iniciales se gestionan por env, nunca se escriben en disco en texto plano.

Divulgación responsable

¿Encontraste una vulnerabilidad? Agradecemos la divulgación coordinada. Usa el formulario de contacto con el asunto "Security" y, por favor, no abras un issue público para reportes sensibles. Buscamos confirmar los reportes válidos con rapidez y te mantendremos informado hasta su resolución.

Reportar una vulnerabilidad