Segurança

Segurança que você pode verificar

O Kotauth é open source, então a segurança é auditável, não apenas afirmada. Veja como a plataforma protege credenciais, dados e sessões.

Hash de senhas

As senhas são processadas com hash via bcrypt e um salt por credencial. O texto em claro nunca é armazenado ou registrado, e os fatores de trabalho são ajustados para o hardware atual.

Criptografia em repouso

Segredos sensíveis são selados com AES-256-GCM. Os backups de tenant derivam chaves com PBKDF2 a 600k iterações antes de o envelope ser criptografado.

Segurança de tokens

Tokens de acesso de curta duração, refresh tokens rotativos e detecção de replay com revogação completa da família quando um token reutilizado é detectado.

Rate limiting e bloqueio

Os endpoints de autenticação têm rate limiting, e falhas repetidas disparam o bloqueio da conta. As tentativas de TOTP têm sua própria proteção contra replay e bloqueio.

Isolamento de tenants

Cada workspace tem seu próprio diretório de usuários, chaves de assinatura RS256 e política CORS. Um comprometimento em um tenant não consegue alcançar outro.

Logging de auditoria completo

Mais de 65 tipos de evento são registrados em uma trilha append-only. Cada ação administrativa é atribuível a um ator, um momento e uma origem.

Hardening de runtime

Protegido por padrão

O contêiner vem com padrões seguros para que um deploy recém-criado não seja um alvo fácil. Sem root, sem sistema de arquivos gravável, sem escalada de privilégios.

Contêiner sem root
Roda como UID 10001 com no-new-privileges definido.
Sistema de arquivos somente leitura
Superfície de runtime imutável com montagens graváveis explícitas.
Capaz de operar air-gapped
Nenhuma chamada externa é necessária para rodar em redes isoladas.
Chaves de bootstrap a partir do env
As chaves de API iniciais são gerenciadas por env, nunca gravadas em disco em texto em claro.

Divulgação responsável

Encontrou uma vulnerabilidade? Agradecemos a divulgação coordenada. Use o formulário de contato com o assunto definido como Security e, por favor, não abra uma issue pública para relatos sensíveis. Buscamos confirmar relatos válidos rapidamente e manteremos você atualizado até a resolução.

Relatar uma vulnerabilidade