Хакерите са огромна заплаха както за бизнеса, така и за хората. Предполага се, че автентификацията ги предпазва от защитени зони, но не винаги работи.
Киберпрестъпниците разполагат с набор от трикове, които могат да бъдат използвани, за да се представят за легитимни потребители. Това им позволява достъп до лична информация, която не би трябвало да имат. След това това може да се използва или продаде.
Хакерите често имат достъп до защитени зони поради повредени уязвимости при удостоверяване. И така, какви са тези уязвимости и как можете да ги предотвратите?
Какво представляват уязвимостите при нарушено удостоверяване?
Счупена уязвимост при удостоверяване е всяка уязвимост, която позволява на атакуващ да се представя за легитимен потребител.
Легитимният потребител обикновено влиза с помощта на парола или идентификатор на сесия. Идентификаторът на сесия е нещо на компютъра на потребителя, което показва, че той е влизал преди това. Всеки път, когато сърфирате в интернет и не бъдете помолени да влезете в някой от акаунтите си, това е, защото доставчикът на акаунта е намерил идентификатора на вашата сесия.
Повечето повредени уязвимости при удостоверяване са проблеми с начина, по който се обработват идентификатори на сесии или пароли. За да предотвратите атаки, трябва да разгледате как един хакер може да използва един от тези елементи и след това да промените системата, за да направите това възможно най-трудно.
Как се получават идентификаторите на сесии?
В зависимост от това как е проектирана системата, идентификаторите на сесии могат да бъдат получени по редица различни начини. След като идентификаторът на сесията бъде приет, хакерът може да получи достъп до всяка част от системата, до която легитимният потребител може.
Отвличане на сесия
Отвличане на сесия е актът на кражба на идентификатор на сесия. Това често се причинява от това, че потребителят прави грешка и води до това, че ID на сесията му е лесно достъпен за някой друг.
Ако потребителят използва незащитен Wi-Fi, данните, отиващи към и от неговия компютър, няма да бъдат криптирани. След това хакер може да успее да прихване идентификатора на сесията, докато се изпраща от системата към потребителя.
Много по-лесен вариант е, ако потребителят използва обществен компютър и забрави да излезе. При този сценарий идентификаторът на сесията остава на компютъра и може да бъде достъпен от всеки.
Пренаписване на URL адреса на ID на сесията
Някои системи са проектирани по такъв начин, че идентификаторите на сесии се съхраняват в URL адрес. След като влезе в такава система, потребителят се насочва към уникален URL адрес. След това потребителят може да влезе отново в системата, като посети същата страница.
Това е проблематично, защото всеки, който получи достъп до конкретен URL адрес на потребител, може да се представя за този потребител. Това може да се случи, ако потребител използва незащитена Wi-Fi или ако сподели уникалния си URL адрес с някой друг. URL адресите често се споделят онлайн и не е необичайно потребителите да споделят идентификатори на сесии несъзнателно.
Как се получават паролите?
Паролите могат да бъдат откраднати или отгатнати по редица различни начини както със, така и без помощ от потребителя. Много от тези техники могат да бъдат автоматизирани, което позволява на хакерите да се опитват да разбият хиляди пароли с едно действие.
Пръскане на пароли
Пръскането на пароли включва групово изпробване на слаби пароли. Много системи са проектирани да блокират потребителите след множество неправилни опити.
Разпръскването на парола заобикаля този проблем чрез опити за слаби пароли на стотици акаунти, вместо да се опитва да се насочи към отделен акаунт. Това позволява на атакуващия да се опитва да въвежда пароли накуп, без да предупреждава системата.
Пълнеж на удостоверения
Пълненето на идентификационни данни е акт на използване на откраднати пароли за опит за масов достъп до лични акаунти. Откраднатите пароли са широко достъпни онлайн. Всеки път, когато уебсайт е хакнат, потребителските данни могат да бъдат откраднати и често се препродават от хакера.
Пълненето на идентификационни данни включва закупуване на тези потребителски данни и след това групово изпробване на уебсайтове. Тъй като паролите често се използват повторно, една двойка потребителско име и парола често може да се използва за влизане в множество акаунти.
Фишинг
Фишинг имейл е имейл, който изглежда легитимен, но всъщност е предназначен да краде паролите на хората и други лични данни. Във фишинг имейл потребителят е помолен да посети уеб страница и да влезе в акаунт, който притежава. Предоставената уеб страница обаче е злонамерена и всяка въведена информация веднага се открадва.
Как да подобрим управлението на сесии
Способността на хакер да се представя за потребител, използвайки идентификатори на сесии, зависи от това как е проектирана системата.
Не съхранявайте идентификатори на сесии в URL адреси
Идентификаторите на сесии никога не трябва да се съхраняват в URL адреси. Бисквитките са идеални за идентификатори на сесии и са много по-трудни за достъп на атакуващ.
Внедряване на автоматични излизания
Потребителите трябва да излязат от акаунтите си след известно време на неактивност. Веднъж внедрен, идентификаторът на открадната сесия вече не може да се използва.
Завъртане на идентификаторите на сесии
Идентификаторите на сесии трябва редовно да се сменят дори без да се изисква от потребителя да излезе. Това действа като алтернатива на автоматичното излизане и предотвратява сценарий, при който нападателят може да използва идентификатор на открадната сесия толкова дълго, колкото го прави потребителят.
Как да подобрим правилата за пароли
Всички частни зони трябва изискват силни пароли и потребителите трябва да бъдат помолени да предоставят допълнително удостоверяване.
Прилагане на правила за пароли
Всяка система, която приема пароли, трябва да включва правила за това какви пароли се приемат. От потребителите трябва да се изисква да предоставят парола с минимална дължина и комбинация от знаци.
Направете двуфакторното удостоверяване задължително
Паролите се крадат лесно и най-добрият начин да попречите на хакерите да ги използват е да приложите двуфакторно удостоверяване. Това изисква потребителят не само да въведе своята парола, но и да предостави друга част от информацията, която обикновено се съхранява само на неговото устройство.
Веднъж внедрен, хакер няма да може да получи достъп до акаунта, дори и да знае паролата.
Уязвимостите на нарушената автентификация са сериозна заплаха
Уязвимостите при нарушено удостоверяване са значителен проблем за всяка система, която съхранява лична информация. Те позволяват на хакерите да се представят за законни потребители и да имат достъп до всяка област, която им е достъпна.
Нарушеното удостоверяване обикновено се отнася до проблеми с това как се управляват сесиите или как се използват паролите. Като разберем как хакерите могат да се опитат да получат достъп до система, е възможно да направим това възможно най-трудно.
Системите трябва да бъдат проектирани така, че идентификаторите на сесии да не са лесно достъпни и да не работят по-дълго от необходимото. Паролите също не трябва да се разчитат като единственото средство за удостоверяване на потребителя.
