Segurança que você pode verificar
O Kotauth é open source, então a segurança é auditável, não apenas afirmada. Veja como a plataforma protege credenciais, dados e sessões.
Hash de senhas
As senhas são processadas com hash via bcrypt e um salt por credencial. O texto em claro nunca é armazenado ou registrado, e os fatores de trabalho são ajustados para o hardware atual.
Criptografia em repouso
Segredos sensíveis são selados com AES-256-GCM. Os backups de tenant derivam chaves com PBKDF2 a 600k iterações antes de o envelope ser criptografado.
Segurança de tokens
Tokens de acesso de curta duração, refresh tokens rotativos e detecção de replay com revogação completa da família quando um token reutilizado é detectado.
Rate limiting e bloqueio
Os endpoints de autenticação têm rate limiting, e falhas repetidas disparam o bloqueio da conta. As tentativas de TOTP têm sua própria proteção contra replay e bloqueio.
Isolamento de tenants
Cada workspace tem seu próprio diretório de usuários, chaves de assinatura RS256 e política CORS. Um comprometimento em um tenant não consegue alcançar outro.
Logging de auditoria completo
Mais de 65 tipos de evento são registrados em uma trilha append-only. Cada ação administrativa é atribuível a um ator, um momento e uma origem.
Protegido por padrão
O contêiner vem com padrões seguros para que um deploy recém-criado não seja um alvo fácil. Sem root, sem sistema de arquivos gravável, sem escalada de privilégios.
Divulgação responsável
Encontrou uma vulnerabilidade? Agradecemos a divulgação coordenada. Use o formulário de contato com o assunto definido como Security e, por favor, não abra uma issue pública para relatos sensíveis. Buscamos confirmar relatos válidos rapidamente e manteremos você atualizado até a resolução.
Relatar uma vulnerabilidade