Hackeři jsou obrovskou hrozbou pro firmy i jednotlivce. Autentizace je má držet mimo zabezpečené oblasti, ale ne vždy to funguje.
Kyberzločinci mají řadu triků, které lze použít k vydávání se za legitimní uživatele. To jim umožňuje přístup k soukromým informacím, které nemají. To lze následně použít nebo prodat.
Hackeři mají často přístup k zabezpečeným oblastem kvůli nefunkčním autentizačním chybám. Jaká jsou tedy tato zranitelnosti a jak jim můžete předejít?
Co jsou zranitelnosti poškozeného ověřování?
Chyba zabezpečení poškozeného ověřování je jakákoli chyba zabezpečení, která útočníkovi umožňuje vydávat se za legitimního uživatele.
Legitimní uživatel se obvykle přihlašuje pomocí hesla nebo ID relace. ID relace je něco v počítači uživatele, které označuje, že se již dříve přihlásil. Kdykoli prohlížíte internet a nejste požádáni o přihlášení k některému ze svých účtů, je to proto, že poskytovatel účtu našel vaše ID relace.
Většina zranitelností nefunkčního ověřování jsou problémy se způsobem zpracování ID relací nebo hesel. Abyste zabránili útokům, musíte se podívat na to, jak by hacker mohl jednu z těchto položek využít, a poté upravit systém tak, aby to bylo co nejobtížnější.
Jak se získávají ID relace?
V závislosti na tom, jak je systém navržen, lze ID relací získat řadou různých způsobů. Jakmile je ID relace přijato, hacker může přistupovat k jakékoli části systému, kterou má legitimní uživatel.
Únos relace
Únos relace je akt krádeže ID relace. To je často způsobeno tím, že uživatel udělá chybu a způsobí, že jeho ID relace je snadno dostupné pro někoho jiného.
Pokud uživatel používá nezabezpečenou Wi-Fi, data odcházející do a z jeho počítače nebudou šifrována. Hacker pak může být schopen zachytit ID relace, když je odesíláno ze systému uživateli.
Mnohem jednodušší varianta je, pokud uživatel používá veřejný počítač a zapomene se odhlásit. V tomto scénáři zůstane ID relace v počítači a může k němu přistupovat kdokoli.
Přepis adresy URL ID relace
Některé systémy jsou navrženy tak, že ID relace jsou uložena v URL. Po přihlášení do takového systému je uživatel přesměrován na unikátní URL. Uživatel pak může znovu přistupovat do systému návštěvou stejné stránky.
To je problematické, protože kdokoli, kdo získá přístup ke konkrétní adrese URL uživatele, se může za tohoto uživatele vydávat. K tomu může dojít, pokud uživatel používá nezabezpečenou Wi-Fi nebo pokud sdílí svou jedinečnou adresu URL s někým jiným. Adresy URL jsou často sdíleny online a není neobvyklé, že uživatelé sdílejí ID relací nevědomky.
Jak se hesla získávají?
Hesla lze ukrást nebo uhodnout mnoha různými způsoby, a to jak s pomocí uživatele, tak bez něj. Mnohé z těchto technik lze automatizovat, což umožňuje hackerům pokusit se prolomit tisíce hesel v jediné akci.
Nástřik hesla
Sprejování hesel zahrnuje hromadné zkoušení slabých hesel. Mnoho systémů je navrženo tak, aby uzamkly uživatele po několika nesprávných pokusech.
Sprejování hesel tento problém řeší pokusem o slabá hesla na stovkách účtů místo pokusu o zacílení na individuální účet. To umožňuje útočníkovi hromadně se pokoušet o hesla, aniž by varoval systém.
Plnění pověření
Plnění pověření je akt použití ukradených hesel k pokusu o hromadný přístup k soukromým účtům. Ukradená hesla jsou široce dostupná online. Kdykoli je web hacknut, mohou být ukradeny uživatelské údaje a hacker je často prodá.
Plnění pověření zahrnuje nákup těchto uživatelských údajů a jejich hromadné vyzkoušení na webových stránkách. Protože se hesla často používají opakovaně, lze k přihlášení k více účtům často použít jeden pár uživatelského jména a hesla.
Phishing
Phishingový e-mail je e-mail, který se zdá být legitimní, ale ve skutečnosti je navržen tak, aby ukradl lidem hesla a další soukromé údaje. V phishingovém e-mailu je uživatel požádán, aby navštívil webovou stránku a přihlásil se k účtu, který vlastní. Poskytnutá webová stránka je však škodlivá a jakékoli zadané informace jsou okamžitě odcizeny.
Jak zlepšit správu relací
Schopnost hackera vydávat se za uživatele pomocí ID relace závisí na tom, jak je systém navržen.
Neukládejte ID relací v adresách URL
ID relace by nikdy neměla být uložena v adresách URL. Soubory cookie jsou ideální pro ID relací a pro útočníka jsou mnohem obtížnější.
Implementujte automatické odhlášení
Uživatelé by měli být odhlášeni ze svých účtů po určité míře nečinnosti. Po implementaci již odcizené ID relace nelze používat.
Střídat ID relací
ID relace by se měla pravidelně vyměňovat, aniž by bylo nutné uživatele odhlásit. To funguje jako alternativa k automatickému odhlašování a zabraňuje scénáři, kdy útočník může používat odcizené ID relace tak dlouho jako uživatel.
Jak zlepšit zásady hesel
Všechny soukromé oblasti by měly vyžadovat silná hesla a uživatelé by měli být požádáni o dodatečné ověření.
Implementujte pravidla pro hesla
Každý systém, který přijímá hesla, by měl obsahovat pravidla týkající se toho, jaká hesla jsou přijímána. Uživatelé by měli mít povinnost poskytnout heslo o minimální délce a kombinaci znaků.
Zaveďte dvoufaktorové ověření jako povinné
Hesla lze snadno ukrást a nejlepší způsob, jak zabránit hackerům v jejich používání, je implementovat dvoufaktorové ověřování. To vyžaduje, aby uživatel nejen zadal své heslo, ale také poskytl další informace, obvykle uložené pouze v jeho zařízení.
Po implementaci nebude mít hacker přístup k účtu, i když zná heslo.
Zranitelnosti poškozeného ověřování jsou významnou hrozbou
Zranitelnosti poškozené autentizace jsou významným problémem jakéhokoli systému, který uchovává soukromé informace. Umožňují hackerům vydávat se za legitimní uživatele a přistupovat do jakékoli oblasti, která je jim dostupná.
Nefunkční ověřování se obvykle týká problémů se způsobem správy relací nebo používáním hesel. Pochopením toho, jak se hackeři mohou pokusit získat přístup k systému, je možné to maximálně ztížit.
Systémy by měly být navrženy tak, aby ID relace nebyla snadno dostupná a nefungovala déle, než je nutné. Na hesla by se také nemělo spoléhat jako na jediný prostředek ověření uživatele.
