Hakerzy stanowią ogromne zagrożenie zarówno dla firm, jak i osób prywatnych. Uwierzytelnianie ma chronić ich przed dostępem do bezpiecznych obszarów, ale nie zawsze działa.
Cyberprzestępcy dysponują szeregiem sztuczek, których można użyć do podszywania się pod legalnych użytkowników. To pozwala im uzyskać dostęp do prywatnych informacji, do których nie powinni. Można to później wykorzystać lub sprzedać.
Hakerzy często mogą uzyskać dostęp do bezpiecznych obszarów z powodu uszkodzonych luk w zabezpieczeniach uwierzytelniania. Czym więc są te luki w zabezpieczeniach i jak można im zapobiegać?
Jakie są luki w zabezpieczeniach zepsutego uwierzytelniania?
Luka w zabezpieczeniach związana z uszkodzonym uwierzytelnianiem to każda luka, która umożliwia atakującemu podszywanie się pod uprawnionego użytkownika.
Uprawniony użytkownik zwykle loguje się przy użyciu hasła lub identyfikatora sesji. Identyfikator sesji to coś na komputerze użytkownika, co wskazuje, że był on wcześniej zalogowany. Ilekroć przeglądasz Internet i nie jesteś proszony o zalogowanie się na jedno ze swoich kont, dzieje się tak dlatego, że dostawca konta znalazł Twój identyfikator sesji.
Większość luk w zabezpieczeniach związanych z uszkodzonym uwierzytelnianiem to problemy z obsługą identyfikatorów sesji lub haseł. Aby zapobiec atakom, należy przyjrzeć się, w jaki sposób haker może wykorzystać jeden z tych elementów, a następnie zmodyfikować system tak, aby było to jak najbardziej utrudnione.
W jaki sposób uzyskuje się identyfikatory sesji?
W zależności od tego, jak zaprojektowano system, identyfikatory sesji można uzyskać na wiele różnych sposobów. Po zaakceptowaniu identyfikatora sesji haker może uzyskać dostęp do dowolnej części systemu dostępnej dla uprawnionego użytkownika.
Przejęcie sesji
Przejęcie sesji jest aktem kradzieży identyfikatora sesji. Jest to często spowodowane błędem użytkownika i spowodowaniem, że jego identyfikator sesji jest łatwo dostępny dla kogoś innego.
Jeśli użytkownik korzysta z niezabezpieczonej sieci Wi-Fi, dane przesyłane do iz jego komputera nie będą szyfrowane. Haker może wtedy być w stanie przechwycić identyfikator sesji, gdy jest on wysyłany z systemu do użytkownika.
Znacznie łatwiejszą opcją jest sytuacja, w której użytkownik korzysta z publicznego komputera i zapomina się wylogować. W tym scenariuszu identyfikator sesji pozostaje na komputerze i każdy może uzyskać do niego dostęp.
Przepisywanie adresu URL identyfikatora sesji
Niektóre systemy są zaprojektowane w taki sposób, że identyfikatory sesji są przechowywane w adresie URL. Po zalogowaniu się do takiego systemu, użytkownik jest kierowany na unikalny adres URL. Użytkownik może następnie ponownie uzyskać dostęp do systemu, odwiedzając tę samą stronę.
Jest to problematyczne, ponieważ każdy, kto uzyska dostęp do określonego adresu URL użytkownika, może podszyć się pod tego użytkownika. Może się to zdarzyć, jeśli użytkownik korzysta z niezabezpieczonej sieci Wi-Fi lub udostępnia swój unikalny adres URL innej osobie. Adresy URL są często udostępniane online i nierzadko zdarza się, że użytkownicy nieświadomie udostępniają identyfikatory sesji.
W jaki sposób uzyskuje się hasła?
Hasła można ukraść lub odgadnąć na wiele różnych sposobów, zarówno z pomocą użytkownika, jak i bez niego. Wiele z tych technik można zautomatyzować, umożliwiając hakerom próbę złamania tysięcy haseł w jednej akcji.
Rozpylanie hasła
Rozpylanie haseł polega na masowym wypróbowywaniu słabych haseł. Wiele systemów zaprojektowano tak, aby blokować użytkowników po wielu nieudanych próbach.
Rozpylanie haseł pozwala obejść ten problem, próbując użyć słabych haseł na setkach kont, zamiast próbować atakować pojedyncze konto. Pozwala to atakującemu na zbiorcze próby wprowadzenia haseł bez powiadamiania systemu.
Wypychanie poświadczeń
Upychanie danych uwierzytelniających to czynność polegająca na wykorzystywaniu skradzionych haseł do masowego uzyskiwania dostępu do prywatnych kont. Skradzione hasła są powszechnie dostępne w Internecie. Za każdym razem, gdy witryna zostanie zhakowana, dane użytkownika mogą zostać skradzione i często są odsprzedawane przez hakera.
Upychanie danych uwierzytelniających polega na zakupie tych danych użytkownika, a następnie masowym wypróbowaniu ich na stronach internetowych. Ponieważ hasła są często używane ponownie, pojedyncza nazwa użytkownika i hasło często mogą być używane do logowania się na wielu kontach.
Wyłudzanie informacji
E-mail phishingowy to wiadomość e-mail, która wydaje się być wiarygodna, ale w rzeczywistości ma na celu kradzież haseł i innych prywatnych informacji. W e-mailu phishingowym użytkownik jest proszony o odwiedzenie strony internetowej i zalogowanie się na konto, którego jest właścicielem. Podana strona internetowa jest jednak złośliwa, a wszelkie wprowadzone informacje są natychmiast kradzione.
Jak usprawnić zarządzanie sesją
Zdolność hakera do podszywania się pod użytkownika przy użyciu identyfikatorów sesji zależy od sposobu zaprojektowania systemu.
Nie przechowuj identyfikatorów sesji w adresach URL
Identyfikatory sesji nigdy nie powinny być przechowywane w adresach URL. Pliki cookie są idealne do identyfikatorów sesji i są znacznie trudniejsze do uzyskania dla atakującego.
Zaimplementuj automatyczne wylogowanie
Użytkownicy powinni zostać wylogowani ze swoich kont po pewnym okresie braku aktywności. Po wdrożeniu skradzionego identyfikatora sesji nie można już używać.
Obracaj identyfikatory sesji
Identyfikatory sesji powinny być regularnie wymieniane, nawet bez konieczności wylogowania użytkownika. Działa to jako alternatywa dla automatycznego wylogowania i zapobiega scenariuszowi, w którym osoba atakująca może używać skradzionego identyfikatora sesji tak długo, jak robi to użytkownik.
Jak ulepszyć zasady dotyczące haseł
Wszystkie obszary prywatne powinny wymagają silnych haseł a użytkownicy powinni zostać poproszeni o dodatkowe uwierzytelnienie.
Implementuj zasady dotyczące haseł
Każdy system, który akceptuje hasła, powinien zawierać zasady określające, jakie hasła są akceptowane. Użytkownicy powinni być zobowiązani do podania hasła o minimalnej długości i kombinacji znaków.
Uczyń uwierzytelnianie dwuskładnikowe obowiązkowym
Hasła są łatwo kradzione, a najlepszym sposobem zapobiegania ich używaniu przez hakerów jest wdrożenie uwierzytelniania dwuskładnikowego. Wymaga to od użytkownika nie tylko podania hasła, ale także podania innej informacji, zwykle przechowywanej tylko na jego urządzeniu.
Po wdrożeniu haker nie będzie mógł uzyskać dostępu do konta, nawet jeśli zna hasło.
Uszkodzone luki w zabezpieczeniach uwierzytelniania stanowią poważne zagrożenie
Uszkodzone luki w zabezpieczeniach uwierzytelniania stanowią poważny problem w każdym systemie przechowującym prywatne informacje. Pozwalają hakerom podszywać się pod legalnych użytkowników i uzyskiwać dostęp do dowolnego dostępnego obszaru.
Uszkodzone uwierzytelnianie zazwyczaj odnosi się do problemów z zarządzaniem sesjami lub używaniem haseł. Rozumiejąc, w jaki sposób hakerzy mogą próbować uzyskać dostęp do systemu, można maksymalnie utrudnić to zadanie.
Systemy powinny być zaprojektowane w taki sposób, aby identyfikatory sesji nie były łatwo dostępne i nie działały dłużej niż to konieczne. Nie należy również polegać na hasłach jako jedynym sposobie uwierzytelniania użytkownika.