Хакеры представляют собой огромную угрозу как для бизнеса, так и для частных лиц. Предполагается, что аутентификация не позволит им попасть в безопасные зоны, но она не всегда работает.
У киберпреступников есть ряд уловок, которые можно использовать для выдачи себя за законных пользователей. Это позволяет им получить доступ к частной информации, которую они не должны иметь. Затем это можно использовать или продать.
Хакеры часто могут получить доступ к безопасным областям из-за сломанных уязвимостей аутентификации. Так что же это за уязвимости и как их предотвратить?
Что такое уязвимости взломанной аутентификации?
Уязвимость нарушенной аутентификации — это любая уязвимость, позволяющая злоумышленнику выдать себя за законного пользователя.
Законный пользователь обычно входит в систему, используя либо пароль, либо идентификатор сеанса. Идентификатор сеанса — это что-то на компьютере пользователя, указывающее, что он ранее входил в систему. Всякий раз, когда вы просматриваете Интернет и вас не просят войти в одну из ваших учетных записей, это происходит потому, что поставщик учетной записи нашел ваш идентификатор сеанса.
Большинство неработающих уязвимостей аутентификации связаны с тем, как обрабатываются идентификаторы сеансов или пароли. Чтобы предотвратить атаки, вам нужно посмотреть, как хакер может использовать один из этих элементов, а затем изменить систему, чтобы сделать это как можно сложнее.
Как получаются идентификаторы сеансов?
В зависимости от конструкции системы идентификаторы сеансов можно получить различными способами. Как только идентификатор сеанса принят, хакер может получить доступ к любой части системы, которую может получить законный пользователь.
Перехват сеанса
Перехват сеанса это акт кражи идентификатора сеанса. Это часто вызвано ошибкой пользователя, из-за которой его идентификатор сеанса становится доступным для кого-то другого.
Если пользователь использует незащищенный Wi-Fi, данные, входящие и исходящие с его компьютера, не будут зашифрованы. Затем хакер сможет перехватить идентификатор сеанса, когда он отправляется из системы пользователю.
Гораздо проще вариант, если пользователь использует общедоступный компьютер и забывает выйти из системы. В этом случае идентификатор сеанса остается на компьютере, и любой может получить к нему доступ.
Перезапись URL-адреса идентификатора сеанса
Некоторые системы спроектированы таким образом, что идентификаторы сеансов хранятся в URL-адресе. После входа в такую систему пользователь направляется по уникальному URL-адресу. Затем пользователь может снова получить доступ к системе, посетив ту же страницу.
Это проблематично, потому что любой, кто получает доступ к определенному URL-адресу пользователя, может выдавать себя за этого пользователя. Это может произойти, если пользователь использует незащищенный Wi-Fi или делится своим уникальным URL-адресом с кем-то еще. URL-адреса часто распространяются в Интернете, и пользователи нередко неосознанно делятся идентификаторами сеансов.
Как получают пароли?
Пароли могут быть украдены или угаданы различными способами как с помощью пользователя, так и без него. Многие из этих методов могут быть автоматизированы, что позволяет хакерам пытаться взломать тысячи паролей за одно действие.
Распыление пароля
Распыление паролей включает в себя массовую проверку слабых паролей. Многие системы предназначены для блокировки пользователей после нескольких неправильных попыток.
Распыление паролей решает эту проблему, пытаясь использовать слабые пароли для сотен учетных записей, а не пытаясь нацелиться на отдельную учетную запись. Это позволяет злоумышленнику массово пытаться ввести пароли, не предупреждая систему.
Заполнение учетных данных
Вброс учетных данных — это использование украденных паролей для массового доступа к личным учетным записям. Украденные пароли широко доступны в Интернете. Всякий раз, когда веб-сайт взломан, данные пользователя могут быть украдены и часто перепроданы хакером.
Наполнение учетными данными включает в себя покупку этих данных пользователя, а затем массовое тестирование их на веб-сайтах. Поскольку пароли часто используются повторно, для входа в несколько учетных записей часто можно использовать одну пару имени пользователя и пароля.
Фишинг
Фишинговое письмо это электронная почта, которая кажется законной, но на самом деле предназначена для кражи паролей и других личных данных людей. В фишинговом электронном письме пользователю предлагается посетить веб-страницу и войти в свою учетную запись. Однако предоставленная веб-страница является вредоносной, и любая введенная информация немедленно украдена.
Как улучшить управление сессиями
Способность хакера выдавать себя за пользователя с использованием идентификаторов сеанса зависит от того, как спроектирована система.
Не храните идентификаторы сеансов в URL-адресах
Идентификаторы сеансов никогда не должны храниться в URL-адресах. Файлы cookie идеально подходят для идентификаторов сеансов, и злоумышленнику гораздо труднее получить к ним доступ.
Реализовать автоматический выход из системы
Пользователи должны выходить из своих учетных записей после определенного периода бездействия. После реализации украденный идентификатор сеанса больше нельзя использовать.
Чередовать идентификаторы сеансов
Идентификаторы сеансов должны регулярно заменяться, даже если пользователю не требуется выходить из системы. Это действует как альтернатива автоматическим выходам из системы и предотвращает сценарий, в котором злоумышленник может использовать украденный идентификатор сеанса так же долго, как и пользователь.
Как улучшить политику паролей
Все частные зоны должны требуют надежных паролей и пользователей следует попросить предоставить дополнительную аутентификацию.
Реализовать правила пароля
Любая система, которая принимает пароли, должна включать правила относительно того, какие пароли принимаются. Пользователей следует обязать предоставить пароль минимальной длины и сочетания символов.
Сделать двухфакторную аутентификацию обязательной
Пароли легко украсть, и лучший способ предотвратить их использование хакерами — реализовать двухфакторную аутентификацию. Для этого пользователь должен не только ввести свой пароль, но и предоставить другую информацию, обычно хранящуюся только на его устройстве.
После внедрения хакер не сможет получить доступ к учетной записи, даже если он знает пароль.
Уязвимости взломанной аутентификации представляют собой серьезную угрозу
Уязвимости неработающей аутентификации представляют собой серьезную проблему в любой системе, в которой хранится личная информация. Они позволяют хакерам выдавать себя за законных пользователей и получать доступ к любой доступной им области.
Нарушенная аутентификация обычно относится к проблемам с управлением сеансами или использованием паролей. Понимая, как хакеры могут попытаться получить доступ к системе, можно максимально затруднить это.
Системы должны быть спроектированы таким образом, чтобы идентификаторы сеансов не были легко доступны и не работали дольше, чем это необходимо. Также не следует полагаться на пароли как на единственное средство аутентификации пользователя.
