¿Cómo se implementa el manejo seguro de sesiones en Athento?

Athento implementa mecanismos, respaldados por estándares como OWASP para la seguridad de aplicaciones web, que le permiten gestionar sesiones de forma segura en su plataformas en la nube y aplicación móvil.

• Control de Tiempo de Expiración de Sesión: Athento cuenta con un tiempo de expiración automático para las sesiones, cerrándolas después de un período de inactividad. Esto reduce el riesgo de acceso no autorizado si un usuario deja una sesión activa en un dispositivo compartido. ¿Se puede configurar un timeout de sesión?
• Mecanismos seguros de Autenticación: Athento implementa funcionalidades que permiten la autenticación mediante passkeys basados en el estándar FIDO2/WebAuthn, promovido por FIDO Alliance ¿Cómo iniciar sesión sin contraseña? Autenticación Passwordless. Así mismo, Athento ofrece mecanismos de doble factor de autenticación Doble factor de autenticación en Athento. Athento identifica intentos de sesión sospechosos y alerta a los usuarios afectados, así como a los equipos de seguridad de Athento. Verificación de dispositivos en Athento. Athento controla también intentos fallidos de autenticación. ¿Existe en Athento algún control de intentos fallidos de autenticación?
• Cifrado de Tráfico: Todas las comunicaciones entre el cliente y el servidor se realizan a través de HTTPS, cifrando así los datos de sesión para protegerlos de interceptaciones.
• Protección contra XSS y CSRF: Athento implementa controles contra ataques de Cross-Site Scripting (XSS) y Cross-Site Request Forgery (CSRF) para asegurar que los tokens de sesión y cookies no sean robados o manipulados. Esto incluye la validación de entradas y el uso de encabezados HTTP seguros.
• Regeneración de ID de Sesión: Al iniciar sesión o al realizar actividades sensibles, se regenera el identificador de sesión (Session ID) para reducir el riesgo de secuestro de sesión. Este mecanismo evita que un atacante utilice un identificador robado para suplantar la identidad del usuario.
• Almacenamiento Seguro de Cookies: Las cookies que contienen datos de sesión se configuran con atributos de seguridad, como HttpOnly y Secure, para evitar que sean accesibles desde JavaScript o enviadas en conexiones no cifradas.
• Generación segura de tokens de sesión: Los tokens de sesión están protegidos frente a ataques de interceptación y manipulación gracias al cifrado en tránsito y a controles contra XSS y CSRF.  Athento utiliza un generador de números aleatorios criptográficamente seguro (módulo secrets de Python, que emplea algoritmos de generación aleatoria como CSPRNG basado en /dev/urandom). Además, los session IDs tienen una longitud de al menos 32 caracteres por defecto. Los datos de sesión se almacenan en el servidor por defecto, evitando que información sensible sea expuesta al cliente. Además, estos datos pueden ser cifrados usando una clave secreta única para cada instalación de Athento, añadiendo una capa extra de protección.
  Athento permite personalizar la seguridad de la gestión de sesiones, como establecer el tiempo de expiración de las sesiones para limitar la ventana de oportunidad de un atacante, o forzar el uso de conexiones seguras (HTTPS) para las cookies de sesión, previniendo ataques como el session hijacking.
• Gestión segura de tokens de sesión y buenas prácticas:  Athento no revela ni expone tokens de sesión en los parámetros de la dirección URL durante la autenticación, el consumo de la API o el acceso a recursos protegidos. Los mecanismos de autenticación, como OAuth2, utilizan encabezados HTTP (Headers) para el envío seguro de tokens y credenciales, evitando así su exposición en la URL. Athento utiliza rutas seguras para el cierre de sesión (por ejemplo, /accounts/logout). Cuando se utiliza autenticación externa (SSO), la pantalla de login puede ser personalizada para eliminar el formulario propio de Athento, redirigiendo al usuario a la URL del proveedor externo, sin exponer tokens en la URL.
• Terminación segura de sesiones: Los usuarios pueden cerrar sesión de forma manual desde la interfaz de Athento. En caso de no tener acceso al botón "Salir", es posible finalizar la sesión accediendo directamente a la URL /accounts/logout de la instancia, lo que asegura el cierre correcto de la sesión y la invalidación del token asociado. Si Athento detecta actividad sospechosa, como un inicio de sesión desde una ubicación, IP, navegador o plataforma inusual, envía una alerta al usuario. Desde el correo de alerta, el usuario puede cerrar todas sus sesiones activas con un solo clic, asegurando que cualquier token de sesión anterior quede invalidado y no pueda ser reutilizado. Athento cuenta con un tiempo de expiración automático para las sesiones, configurable según las necesidades del cliente. Una vez transcurrido el periodo de inactividad definido, la sesión se cierra y el token de sesión queda invalidado .