Hackere er en stor trussel for både bedrifter og enkeltpersoner. Autentisering er ment å holde dem borte fra sikre områder, men det fungerer ikke alltid.
Nettkriminelle har en rekke triks som kan brukes til å utgi seg for legitime brukere. Dette gir dem tilgang til privat informasjon som de ikke skal ha. Denne kan deretter brukes eller selges.
Hackere er ofte i stand til å få tilgang til sikre områder på grunn av ødelagte autentiseringssårbarheter. Så hva er disse sårbarhetene, og hvordan kan du forhindre dem?
Hva er ødelagte autentiseringssårbarheter?
Et ødelagt autentiseringssårbarhet er enhver sårbarhet som lar en angriper utgi seg for å være en legitim bruker.
En legitim bruker logger vanligvis på med enten et passord eller en økt-ID. En økt-ID er noe på brukerens datamaskin som indikerer at de tidligere har logget på. Når du surfer på internett og ikke blir bedt om å logge på en av kontoene dine, er det fordi kontoleverandøren har funnet økt-ID-en din.
De fleste ødelagte autentiseringssårbarhetene er problemer med hvordan enten økt-IDer eller passord håndteres. For å forhindre angrep, må du se på hvordan en hacker kan bruke en av disse elementene, og deretter endre systemet for å gjøre det så vanskelig som mulig.
Hvordan oppnås økt-ID-er?
Avhengig av hvordan et system er utformet, kan sesjons-ID-er fås på en rekke forskjellige måter. Når økt-ID-en er akseptert, kan hackeren få tilgang til alle deler av systemet som en legitim bruker kan.
Sesjonskapring
Sesjonskapring er handlingen med å stjele en økt-ID. Dette er ofte forårsaket av at brukeren gjør en feil og gjør at økt-ID-en deres er lett tilgjengelig for noen andre.
Hvis brukeren bruker usikret Wi-Fi, blir ikke dataene som går til og fra datamaskinen kryptert. En hacker kan da være i stand til å avskjære økt-ID-en når den sendes fra systemet til brukeren.
Et mye enklere alternativ er hvis brukeren bruker en offentlig datamaskin og glemmer å logge ut. I dette scenariet forblir økt-ID-en på datamaskinen og kan nås av alle.
Sesjons-ID URL-omskriving
Noen systemer er utformet på en slik måte at økt-ID-er lagres i en URL. Etter å ha logget inn på et slikt system, ledes brukeren til en unik URL. Brukeren kan deretter få tilgang til systemet igjen ved å gå til samme side.
Dette er problematisk fordi alle som får tilgang til en brukers spesifikke URL kan utgi seg for denne brukeren. Dette kan skje hvis en bruker bruker usikret Wi-Fi eller hvis de deler sin unike URL med noen andre. URL-er deles ofte på nettet, og det er ikke uvanlig at brukere deler økt-ID-er uten å vite det.
Hvordan oppnås passord?
Passord kan stjeles eller gjettes på en rekke forskjellige måter både med og uten brukerhjelp. Mange av disse teknikkene kan automatiseres, slik at hackere kan forsøke å knekke tusenvis av passord i en enkelt handling.
Passordspraying
Passordspraying innebærer å prøve ut svake passord i bulk. Mange systemer er designet for å låse brukere ute etter flere feil forsøk.
Passordspraying omgår dette problemet ved å prøve svake passord på hundrevis av kontoer i stedet for å prøve å målrette mot en individuell konto. Dette lar angriperen prøve passord i bulk uten å varsle systemet.
Credential Stuffing
Credential stuffing er handlingen med å bruke stjålne passord for å forsøke å få tilgang til private kontoer i bulk. Stjålne passord er allment tilgjengelige på nettet. Hver gang et nettsted blir hacket, kan brukerdetaljer bli stjålet, og blir ofte videresolgt av hackeren.
Credential stuffing innebærer å kjøpe disse brukeropplysningene og deretter prøve dem ut på nettsteder i bulk. Fordi passord ofte gjenbrukes, kan et enkelt brukernavn og passord ofte brukes til å logge på flere kontoer.
Phishing
En phishing-e-post er en e-post som ser ut til å være legitim, men som faktisk er designet for å stjele folks passord og andre private detaljer. I en phishing-e-post blir brukeren bedt om å besøke en nettside og logge på en konto de eier. Nettsiden som er oppgitt er imidlertid skadelig og all informasjon som legges inn blir umiddelbart stjålet.
Hvordan forbedre øktadministrasjon
Muligheten for en hacker til å etterligne en bruker ved å bruke sesjons-IDer avhenger av hvordan et system er utformet.
Ikke lagre økt-ID-er i URL-er
Økt-ID-er skal aldri lagres i URL-er. Informasjonskapsler er ideelle for økt-IDer og er mye vanskeligere å få tilgang til for en angriper.
Implementer automatiske utlogginger
Brukere bør logges ut av kontoene sine etter en viss mengde inaktivitet. Når den er implementert, kan en stjålet økt-ID ikke lenger brukes.
Roter økt-ID-er
Sesjons-ID-er bør regelmessig erstattes selv uten at brukeren trenger å logge ut. Dette fungerer som et alternativ til automatisk utlogging og forhindrer et scenario der en angriper kan bruke en stjålet økt-ID så lenge som brukeren gjør det.
Hvordan forbedre passordpolitikken
Alle private områder bør krever sterke passord og brukere bør bli bedt om å gi ytterligere autentisering.
Implementer passordregler
Ethvert system som godtar passord bør inkludere regler om hvilke passord som godtas. Brukere bør være pålagt å oppgi et passord med minimumslengde og en blanding av tegn.
Gjør tofaktorautentisering obligatorisk
Passord blir lett stjålet, og den beste måten å forhindre hackere i å bruke dem er å implementere tofaktorautentisering. Dette krever at en bruker ikke bare skriver inn passordet sitt, men også oppgir en annen informasjon, vanligvis bare lagret på enheten.
Når den er implementert, vil ikke en hacker få tilgang til kontoen, selv om de kjenner passordet.
Ødelagte autentiseringssårbarheter er en betydelig trussel
Ødelagte autentiseringssårbarheter er et betydelig problem på ethvert system som lagrer privat informasjon. De lar hackere utgi seg for legitime brukere og få tilgang til ethvert område som er tilgjengelig for dem.
Ødelagt autentisering refererer vanligvis til problemer med hvordan økter administreres eller hvordan passord brukes. Ved å forstå hvordan hackere kan forsøke å få tilgang til et system, er det mulig å gjøre det så vanskelig som mulig.
Systemer bør utformes slik at økt-ID-er ikke er lett tilgjengelige og ikke fungerer lenger enn nødvendig. Passord bør heller ikke stoles på som det eneste middelet for brukerautentisering.
