Аутентификация, по сути, является доказательством того, что кто-то или что-то является подлинным и действительным. Учетные данные пользователя должны совпадать с теми, которые установлены в базе данных или на сервере аутентификации. Это, в свою очередь, обеспечивает предприятиям защищенный и аутентифицированный доступ к их ресурсам, гарантируя, что это именно тот пользователь, который получил доступ. Таким образом, распознавание личности пользователя является важным механизмом в любой отрасли.
Существует множество методов, типов и способов аутентификации. Они могут варьироваться от паролей, двухфакторной аутентификации, использования токенов, биометрических данных, однократной регистрации (SSO) и протоколов аутентификации, таких как SSL или Kerberos. Каждый из них работает немного по-своему, но все пытаются достичь одной и той же цели. Однако выбор одного из них – это совсем другое дело.
Тем не менее, несмотря на множество методов аутентификации, хакеры все равно находят способ для получения доступа. Сейчас мы знаем, что большинство атак происходит с использованием паролей или методов аутентификации на основе паролей. Это могут быть фишинговые атаки, атаки «человек посередине», атаки методом перебора и даже подстановка учетных данных. Кроме того, некоторые уязвимости аутентификации паролей могут возникать из-за слабых или стандартных паролей пользователей и даже из-за использования слабых или небезопасных функций проверки, таких как MD5. Однако для таких сценариев существует множество средств защиты, и обычно они сводятся к осведомленности конечных пользователей о безопасности.
Сегодня, впрочем, мы сосредоточимся на другом аспекте и коснемся нарушенной аутентификации. Под нарушенной аутентификацией понимается слабое место, присущее приложению или платформе, которое может позволить злоумышленникам обойти защиту. Поскольку злоумышленники применяют множество методов, чтобы получить преимущество от уязвимой или ослабленной системы, организации необходимо знать об уязвимостях и иметь надежный план защиты!
Что такое уязвимости нарушенной аутентификации?
Восстановление слабых паролей
Вы забыли свой пароль? Многие из нас в определенное время нажимали кнопку «забыл пароль» и проходили путь восстановления, чтобы разблокировать свою учетную запись. Несмотря на то, что процедуры безопасности созданы для обеспечения процесса аутентификации, иногда пользователи могут пренебречь процедурой восстановления.
Уязвимые библиотеки аутентификации
Сегодняшнее программное обеспечение может зависеть от другого; в таких случаях мы видим множество зависимостей. Есть много случаев, когда определенные плагины или дополнительные надстройки имеют уязвимости в процессах аутентификации, которые можно легко эксплуатировать и использовать для получения доступа.
Уязвимости обработки сеанса
Некоторые процессы аутентификации позволяют завершить сеанс после аутентификации. Это означает, что система не будет просить вас повторно пройти аутентификацию. После проверки система признает вас тем пользователем, от имени которого вы прошли аутентификацию. Отсутствие выхода из системы, тайм-аута сеанса, хранение данных сеанса на веб-страницах, в браузерах и даже в cookies может дать злоумышленникам возможность использовать эти уязвимости и предоставить им авторизованный сеанс без чьего-либо ведома.
Ограничения на вход
Отсутствие функции ограничения входа в систему может создать для хакеров возможность использовать процессы аутентификации. Они могут использовать атаки грубой силы, чтобы взломать пароль и получить доступ к вашим ресурсам. Хорошей практикой является установка функции ограничения скорости входа, чтобы пользователи не могли войти в систему после нескольких неудачных попыток.
Недостатки реализации аутентификации
Слабая реализация методов аутентификации может привести к тому, что хакеры найдут методы использования или обхода определенных процессов. Например, в нескольких случаях двухфакторная аутентификация была обойдена, несмотря на то, что это безопасный процесс аутентификации. Правильное внедрение может снизить уровень угроз.
Вот некоторые из методов атаки
SQL Injection – может быть использована для получения доступа к веб-уязвимости и вмешательства в запросы, выполняемые в приложении. Это позволяет злоумышленнику просматривать данные, которые обычно он не может просматривать, например, данные пользователя (учетные данные), и иметь возможность удалять или изменять сами данные.
Атаки на пароли – Фишинг является распространенным и наиболее популярным вектором атаки на пароли. Фишинговая атака – это когда человек посылает мошенническое сообщение, чтобы обмануть человека, который его получает, и заставить его поделиться информацией. Обычно это происходит с помощью электронных писем, но в последнее время довольно эффективными стали SMS, замаскированные под известные третьи стороны, такие как банки, интернет-провайдеры и даже команды поддержки доступных приложений.
Недостатки логики программ – Недостатки логики могут быть использованы, если они не продуманы до мелочей. Применение несовершенных методов аутентификации, перехват протоколов с открытым текстом или ошибочные предположения относительно поведения – все это может быть использовано в качестве уязвимостей.
Если вы хотите узнать больше о методах аутентификации Fudo и определенных векторах атак, ознакомьтесь с документом-инфографикой об аутентификации.
Источник: https://bit.ly/3DOp3jW
