Piratai yra didžiulė grėsmė tiek įmonėms, tiek asmenims. Autentifikavimas turėtų neleisti jiems patekti į saugias sritis, tačiau tai ne visada veikia.
Kibernetiniai nusikaltėliai turi daugybę gudrybių, kuriomis galima apsimesti teisėtais vartotojais. Tai leidžia jiems pasiekti privačią informaciją, kurios jie neturi. Tada jis gali būti naudojamas arba parduodamas.
Įsilaužėliai dažnai gali pasiekti saugias sritis dėl pažeistų autentifikavimo spragų. Taigi, kas yra šie pažeidžiamumai ir kaip galite jų išvengti?
Kas yra sugadintos autentifikavimo spragos?
Sugadintas autentifikavimo pažeidžiamumas yra bet koks pažeidžiamumas, leidžiantis užpuolikui apsimesti teisėtu vartotoju.
Teisingas vartotojas paprastai prisijungia naudodamas slaptažodį arba seanso ID. Seanso ID yra kažkas vartotojo kompiuteryje, nurodantis, kad jis anksčiau buvo prisijungęs. Kai naršote internete ir jūsų neprašoma prisijungti prie vienos iš savo paskyrų, taip yra todėl, kad paskyros teikėjas rado jūsų seanso ID.
Dauguma pažeistų autentifikavimo spragų yra problemos, susijusios su seansų ID arba slaptažodžių tvarkymu. Kad išvengtumėte atakų, turite išsiaiškinti, kaip įsilaužėlis gali panaudoti vieną iš šių elementų, o tada modifikuoti sistemą, kad tai padaryti būtų kuo sunkiau.
Kaip gaunami seansų ID?
Priklausomai nuo to, kaip sistema sukurta, seanso ID galima gauti įvairiais būdais. Priėmus seanso ID, įsilaužėlis gali pasiekti bet kurią sistemos dalį, kurią gali turėti teisėtas vartotojas.
Sesijos užgrobimas
Sesijos užgrobimas yra seanso ID vagystės veiksmas. Taip dažnai nutinka dėl to, kad vartotojas padarė klaidą ir dėl to jo seanso ID yra lengvai pasiekiamas kam nors kitam.
Jei vartotojas naudoja neapsaugotą „Wi-Fi“, duomenys, siunčiami į kompiuterį ir iš jo, nebus užšifruoti. Tada įsilaužėlis gali perimti seanso ID, kai jis siunčiamas iš sistemos vartotojui.
Daug paprastesnis pasirinkimas yra, jei vartotojas naudojasi viešuoju kompiuteriu ir pamiršta atsijungti. Pagal šį scenarijų seanso ID lieka kompiuteryje ir jį gali pasiekti bet kas.
Seanso ID URL perrašymas
Kai kurios sistemos sukurtos taip, kad seanso ID būtų saugomi URL. Prisijungęs prie tokios sistemos vartotojas nukreipiamas į unikalų URL adresą. Tada vartotojas gali vėl pasiekti sistemą apsilankęs tame pačiame puslapyje.
Tai kelia problemų, nes kiekvienas, gavęs prieigą prie konkretaus vartotojo URL, gali apsimesti tuo vartotoju. Taip gali nutikti, jei naudotojas naudoja neapsaugotą „Wi-Fi“ ryšį arba bendrina savo unikalų URL su kuo nors kitu. URL dažnai bendrinami internete ir neretai naudotojai nesąmoningai dalijasi seansų ID.
Kaip gaunami slaptažodžiai?
Slaptažodžiai gali būti pavogti arba atspėti įvairiais būdais tiek su vartotojo pagalba, tiek be jo. Daugelis šių metodų gali būti automatizuoti, todėl įsilaužėliai vienu veiksmu gali bandyti nulaužti tūkstančius slaptažodžių.
Slaptažodžio purškimas
Slaptažodžių purškimas apima masinį silpnų slaptažodžių išbandymą. Daugelis sistemų sukurtos taip, kad po kelių neteisingų bandymų būtų užblokuoti naudotojai.
Slaptažodžių purškimas išsprendžia šią problemą bandant įvesti silpnus slaptažodžius šimtuose paskyrų, o ne bandant taikyti individualią paskyrą. Tai leidžia užpuolikui masiškai bandyti įvesti slaptažodžius, neįspėjus sistemos.
Kredito įdaras
Kredencialų užpildymas – tai veiksmas, kai naudojami pavogti slaptažodžiai, norint masiškai pasiekti privačias paskyras. Pavogti slaptažodžiai yra plačiai prieinami internete. Kai į svetainę įsilaužiama, naudotojo informacija gali būti pavogta ir dažnai įsilaužėlis ją perparduoda.
Kredencialų pildymas apima šios naudotojo informacijos įsigijimą ir masinį jų išbandymą svetainėse. Kadangi slaptažodžiai dažnai naudojami pakartotinai, prisijungiant prie kelių paskyrų dažnai galima naudoti vieną vartotojo vardą ir slaptažodžių porą.
Sukčiavimas
Sukčiavimo el. laiškas el. laiškas, kuris atrodo teisėtas, bet iš tikrųjų yra skirtas pavogti žmonių slaptažodžius ir kitą asmeninę informaciją. Sukčiavimo el. laiške naudotojo prašoma apsilankyti tinklalapyje ir prisijungti prie jam priklausančios paskyros. Tačiau pateiktas tinklalapis yra kenkėjiškas ir bet kokia įvesta informacija nedelsiant pavagiama.
Kaip pagerinti seansų valdymą
Įsilaužėlių galimybė apsimesti vartotoju naudojant seanso ID priklauso nuo to, kaip sistema suprojektuota.
Nesaugokite seansų ID URL
Seansų ID niekada neturėtų būti saugomi URL. Slapukai idealiai tinka seanso ID ir užpuolikui yra daug sunkiau pasiekti.
Įdiekite automatinius atsijungimus
Vartotojai turėtų būti atjungti nuo savo paskyrų po tam tikro neveiklumo. Įdiegus pavogto seanso ID nebegalima naudoti.
Pakeiskite seansų ID
Seanso ID turėtų būti reguliariai keičiami, net ir nereikalaujant vartotojo atsijungti. Tai veikia kaip automatinio atsijungimo alternatyva ir neleidžia atsirasti scenarijui, kai užpuolikas gali naudoti pavogtą seanso ID tiek, kiek naudoja vartotojas.
Kaip patobulinti slaptažodžių politiką
Visos privačios zonos turėtų reikalauja tvirtų slaptažodžių ir vartotojų turėtų būti paprašyta pateikti papildomą autentifikavimą.
Įdiekite slaptažodžio taisykles
Bet kuri sistema, kuri priima slaptažodžius, turėtų apimti taisykles dėl to, kokie slaptažodžiai yra priimami. Reikėtų reikalauti, kad vartotojai pateiktų minimalaus ilgio slaptažodį ir simbolių derinį.
Padarykite dviejų veiksnių autentifikavimą privalomu
Slaptažodžiai lengvai pavagiami, o geriausias būdas užkirsti kelią įsilaužėliams jais naudotis yra dviejų veiksnių autentifikavimas. Tam reikia, kad vartotojas ne tik įvestų slaptažodį, bet ir kitą informaciją, kuri paprastai saugoma tik jo įrenginyje.
Įdiegęs įsilaužėlis negalės pasiekti paskyros, net jei žino slaptažodį.
Sugadintos autentifikavimo spragos kelia didelę grėsmę
Sugadintos autentifikavimo spragos yra didelė problema bet kurioje sistemoje, kurioje saugoma asmeninė informacija. Jie leidžia įsilaužėliams apsimesti teisėtais vartotojais ir pasiekti bet kurią jiems prieinamą sritį.
Sugedęs autentifikavimas paprastai reiškia problemas, susijusias su seansų valdymu arba slaptažodžių naudojimu. Suprasdami, kaip įsilaužėliai gali bandyti pasiekti sistemą, galima tai padaryti kuo sunkiau.
Sistemos turi būti suprojektuotos taip, kad seansų ID nebūtų lengvai pasiekiami ir neveiktų ilgiau nei būtina. Slaptažodžiais taip pat nereikėtų pasikliauti kaip vienintele vartotojo autentifikavimo priemone.