Programmierer erobern Sicherheit: Share & Learn-Serie — Authentifizierung
In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.
Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Passwort in ein System einloggen kann, müssen keine fortgeschrittenen Techniken zur Bekämpfung der Netzwerkabwehr eingesetzt werden. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch, wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu erkennen, da die meisten Abwehrmechanismen ihn einfach als einen gültigen Benutzer oder Administrator ansehen, der seine Arbeit erledigt.
Die Kategorie der Authentifizierungsschwachstellen ist ziemlich umfangreich, aber wir werden auf die häufigsten Probleme eingehen, die dazu neigen, versehentlich in Benutzeranmeldeprozessen zu landen. Indem Sie diese Lücken schließen, können Sie die überwiegende Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.
In dieser Episode werden wir lernen:
- Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
- Warum sie so gefährlich sind
- Welche Richtlinien und Techniken können verwendet werden, um Authentifizierungsschwachstellen zu beseitigen.
Wie nutzen Angreifer Sicherheitslücken bei der Authentifizierung aus?
Es gibt eine ganze Reihe von Authentifizierungsschwachstellen, die sich in ein Authentifizierungssystem einschleichen können, sodass Hacker jede ein bisschen anders ausnutzen. Lassen Sie uns zunächst die häufigsten Sicherheitslücken durchgehen und dann anhand von Beispielen zeigen, wie einige von ihnen ausgenutzt werden könnten.
Zu den häufigsten Sicherheitslücken bei der Authentifizierung gehören:
- schwache oder unzureichende Passwortrichtlinien haben,
- Unbegrenzte Anmeldeversuche ermöglichen,
- Bereitstellung von Informationen an einen Angreifer bei fehlgeschlagenen Anmeldungen,
- Anmeldeinformationen über unsichere Kanäle senden,
- Schwaches Hashing von Passwörtern,
- Und einen unsicheren Passwortwiederherstellungsprozess haben.
Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Sicherheitslücke. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, verwenden viel zu viele von ihnen leicht zu erratende Passwörter. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Passwörter, und „123456" und „Passwort“ sind immer unter den ersten fünf. Es gibt noch andere. Administratoren verwenden „Gott“ sehr gerne. Stimmt, die sind alle entweder humorvoll oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Passwörter und probieren sie zuerst aus, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Passwörtern in Ihrem Unternehmen zulässig ist, werden Sie irgendwann missbraucht.
Eine weniger offensichtliche, aber immer noch gefährliche Sicherheitslücke besteht darin, einem Benutzer Informationen über eine fehlgeschlagene Anmeldung zurückzugeben. Das ist schlimm, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, ermöglicht es Angreifern, gültige Benutzer auf einem System zu identifizieren und sich darauf zu konzentrieren, Passwörter nur für diese Benutzernamen zu erraten. In Kombination mit der Sicherheitslücke in der Authentifizierung, die ein unbegrenztes Erraten von Passwörtern ermöglicht, könnten Angreifer Wörterbuchangriffe gegen alle gültigen Benutzer ausführen, die sie gefunden haben, wodurch sie relativ schnell in ein System gelangen könnten, wenn das Passwort leicht zu erraten ist.
Warum sind Authentifizierungsschwachstellen so gefährlich?
Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Gehöftler, der dreifache Schlösser an seiner Haustür anbrachte, seine Fenster zugenagelte und mit vielen Waffen in Reichweite schlief. Am Morgen wurde er tot aufgefunden. Seine Angreifer haben ihn erwischt, weil er vergessen hat, die Hintertür abzuschließen. Sicherheitslücken bei der Authentifizierung sind sehr ähnlich. Es spielt wirklich keine Rolle, welche Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Expertenanalysten Sie einsetzen, wenn ein Angreifer mit einem gültigen Benutzernamen und Passwort in Ihr Netzwerk eindringen kann.
Einmal drinnen, gibt es nur sehr wenige Einschränkungen, was der Angreifer tun kann. Solange sie im Rahmen ihrer Benutzerberechtigungen handeln, die sehr umfangreich sein können, wenn sie ein Administratorkonto kompromittiert haben, ist die Wahrscheinlichkeit sehr gering, dass sie rechtzeitig gefasst werden, um ernsthafte Probleme zu vermeiden. Dies macht die Sicherheitslücken der Authentifizierungsklasse zu einer der gefährlichsten, die es auf jedem System gibt.
Beseitigung von Authentifizierungsschwachstellen
Eine der besten Möglichkeiten, Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, weltweit durchgesetzte Passwortrichtlinien. Benutzer, selbst Administratoren, sollten nicht nur daran gehindert werden, Passwörter wie „Passwort“ zu verwenden, sondern auch gezwungen werden, eine Komplexität hinzuzufügen, die es einem Angreifer unmöglich macht, einen Angriff nach Art eines Wörterbuches oder allgemeiner Ausdrücke durchzuführen. Sie können sich Ihre eigenen Regeln für die Passworterstellung ausdenken, je nachdem, wie wichtig das zu schützende System ist. Dadurch wird es für Angreifer viel schwieriger, Passwörter zu erraten oder Brute-Force-Angriffe durchzuführen.
Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche einschränken, sodass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als dreimal eingegeben wird. Die Sperrung kann vorübergehend sein, da selbst eine Verzögerung von wenigen Minuten verhindert, dass automatische Wörterbuchangriffe fortgesetzt werden. Sie kann aber auch dauerhaft sein, sofern das Konto nicht von einem Administrator entsperrt wird. In beiden Fällen sollte das Sicherheitspersonal bei einer solchen Sperrung alarmiert werden, damit es die Situation überwachen kann.
Eine weitere gute Methode, um zu verhindern, dass Angreifer Informationen sammeln, besteht darin, eine generische Nachricht zu verfassen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Es sollte in beiden Fällen dasselbe sein, damit Hacker nicht wissen, ob sie abgelehnt wurden, weil ein Benutzer nicht existiert oder weil er das falsche Passwort hat.
Authentifizierungsschwachstellen gehören auf den meisten Systemen zu den häufigsten und gefährlichsten. Sie sind aber auch relativ einfach zu finden und zu beseitigen.
Weitere Informationen zu Sicherheitslücken bei der Authentifizierung
Für weitere Informationen können Sie sich die OWASP ansehen Spickzettel zur Authentifizierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Treten Sie ein und stellen Sie sich einer Authentifizierungsschwachstelle in der Secure Code Warrior-Plattform direkt entgegen: [Fangen Sie hier an]
Wir werden eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.
Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Passwort in ein System einloggen kann, müssen keine fortgeschrittenen Techniken zur Bekämpfung der Netzwerkabwehr eingesetzt werden. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch, wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu erkennen, da die meisten Abwehrmechanismen ihn einfach als einen gültigen Benutzer oder Administrator ansehen, der seine Arbeit erledigt.
Die Kategorie der Authentifizierungsschwachstellen ist ziemlich umfangreich, aber wir werden auf die häufigsten Probleme eingehen, die dazu neigen, versehentlich in Benutzeranmeldeprozessen zu landen. Indem Sie diese Lücken schließen, können Sie die überwiegende Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.
In dieser Episode werden wir lernen:
- Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
- Warum sie so gefährlich sind
- Welche Richtlinien und Techniken können verwendet werden, um Authentifizierungsschwachstellen zu beseitigen.
Wie nutzen Angreifer Sicherheitslücken bei der Authentifizierung aus?
Es gibt eine ganze Reihe von Authentifizierungsschwachstellen, die sich in ein Authentifizierungssystem einschleichen können, sodass Hacker jede ein bisschen anders ausnutzen. Lassen Sie uns zunächst die häufigsten Sicherheitslücken durchgehen und dann anhand von Beispielen zeigen, wie einige von ihnen ausgenutzt werden könnten.
Zu den häufigsten Sicherheitslücken bei der Authentifizierung gehören:
- schwache oder unzureichende Passwortrichtlinien haben,
- Unbegrenzte Anmeldeversuche ermöglichen,
- Bereitstellung von Informationen an einen Angreifer bei fehlgeschlagenen Anmeldungen,
- Anmeldeinformationen über unsichere Kanäle senden,
- Schwaches Hashing von Passwörtern,
- Und einen unsicheren Passwortwiederherstellungsprozess haben.
Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Sicherheitslücke. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, verwenden viel zu viele von ihnen leicht zu erratende Passwörter. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Passwörter, und „123456" und „Passwort“ sind immer unter den ersten fünf. Es gibt noch andere. Administratoren verwenden „Gott“ sehr gerne. Stimmt, die sind alle entweder humorvoll oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Passwörter und probieren sie zuerst aus, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Passwörtern in Ihrem Unternehmen zulässig ist, werden Sie irgendwann missbraucht.
Eine weniger offensichtliche, aber immer noch gefährliche Sicherheitslücke besteht darin, einem Benutzer Informationen über eine fehlgeschlagene Anmeldung zurückzugeben. Das ist schlimm, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, ermöglicht es Angreifern, gültige Benutzer auf einem System zu identifizieren und sich darauf zu konzentrieren, Passwörter nur für diese Benutzernamen zu erraten. In Kombination mit der Sicherheitslücke in der Authentifizierung, die ein unbegrenztes Erraten von Passwörtern ermöglicht, könnten Angreifer Wörterbuchangriffe gegen alle gültigen Benutzer ausführen, die sie gefunden haben, wodurch sie relativ schnell in ein System gelangen könnten, wenn das Passwort leicht zu erraten ist.
Warum sind Authentifizierungsschwachstellen so gefährlich?
Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Gehöftler, der dreifache Schlösser an seiner Haustür anbrachte, seine Fenster zugenagelte und mit vielen Waffen in Reichweite schlief. Am Morgen wurde er tot aufgefunden. Seine Angreifer haben ihn erwischt, weil er vergessen hat, die Hintertür abzuschließen. Sicherheitslücken bei der Authentifizierung sind sehr ähnlich. Es spielt wirklich keine Rolle, welche Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Expertenanalysten Sie einsetzen, wenn ein Angreifer mit einem gültigen Benutzernamen und Passwort in Ihr Netzwerk eindringen kann.
Einmal drinnen, gibt es nur sehr wenige Einschränkungen, was der Angreifer tun kann. Solange sie im Rahmen ihrer Benutzerberechtigungen handeln, die sehr umfangreich sein können, wenn sie ein Administratorkonto kompromittiert haben, ist die Wahrscheinlichkeit sehr gering, dass sie rechtzeitig gefasst werden, um ernsthafte Probleme zu vermeiden. Dies macht die Sicherheitslücken der Authentifizierungsklasse zu einer der gefährlichsten, die es auf jedem System gibt.
Beseitigung von Authentifizierungsschwachstellen
Eine der besten Möglichkeiten, Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, weltweit durchgesetzte Passwortrichtlinien. Benutzer, selbst Administratoren, sollten nicht nur daran gehindert werden, Passwörter wie „Passwort“ zu verwenden, sondern auch gezwungen werden, eine Komplexität hinzuzufügen, die es einem Angreifer unmöglich macht, einen Angriff nach Art eines Wörterbuches oder allgemeiner Ausdrücke durchzuführen. Sie können sich Ihre eigenen Regeln für die Passworterstellung ausdenken, je nachdem, wie wichtig das zu schützende System ist. Dadurch wird es für Angreifer viel schwieriger, Passwörter zu erraten oder Brute-Force-Angriffe durchzuführen.
Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche einschränken, sodass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als dreimal eingegeben wird. Die Sperrung kann vorübergehend sein, da selbst eine Verzögerung von wenigen Minuten verhindert, dass automatische Wörterbuchangriffe fortgesetzt werden. Sie kann aber auch dauerhaft sein, sofern das Konto nicht von einem Administrator entsperrt wird. In beiden Fällen sollte das Sicherheitspersonal bei einer solchen Sperrung alarmiert werden, damit es die Situation überwachen kann.
Eine weitere gute Methode, um zu verhindern, dass Angreifer Informationen sammeln, besteht darin, eine generische Nachricht zu verfassen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Es sollte in beiden Fällen dasselbe sein, damit Hacker nicht wissen, ob sie abgelehnt wurden, weil ein Benutzer nicht existiert oder weil er das falsche Passwort hat.
Authentifizierungsschwachstellen gehören auf den meisten Systemen zu den häufigsten und gefährlichsten. Sie sind aber auch relativ einfach zu finden und zu beseitigen.
Weitere Informationen zu Sicherheitslücken bei der Authentifizierung
Für weitere Informationen können Sie sich die OWASP ansehen Spickzettel zur Authentifizierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Treten Sie ein und stellen Sie sich einer Authentifizierungsschwachstelle in der Secure Code Warrior-Plattform direkt entgegen: [Fangen Sie hier an]
In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.
Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Passwort in ein System einloggen kann, müssen keine fortgeschrittenen Techniken zur Bekämpfung der Netzwerkabwehr eingesetzt werden. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch, wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu erkennen, da die meisten Abwehrmechanismen ihn einfach als einen gültigen Benutzer oder Administrator ansehen, der seine Arbeit erledigt.
Die Kategorie der Authentifizierungsschwachstellen ist ziemlich umfangreich, aber wir werden auf die häufigsten Probleme eingehen, die dazu neigen, versehentlich in Benutzeranmeldeprozessen zu landen. Indem Sie diese Lücken schließen, können Sie die überwiegende Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.
In dieser Episode werden wir lernen:
- Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
- Warum sie so gefährlich sind
- Welche Richtlinien und Techniken können verwendet werden, um Authentifizierungsschwachstellen zu beseitigen.
Wie nutzen Angreifer Sicherheitslücken bei der Authentifizierung aus?
Es gibt eine ganze Reihe von Authentifizierungsschwachstellen, die sich in ein Authentifizierungssystem einschleichen können, sodass Hacker jede ein bisschen anders ausnutzen. Lassen Sie uns zunächst die häufigsten Sicherheitslücken durchgehen und dann anhand von Beispielen zeigen, wie einige von ihnen ausgenutzt werden könnten.
Zu den häufigsten Sicherheitslücken bei der Authentifizierung gehören:
- schwache oder unzureichende Passwortrichtlinien haben,
- Unbegrenzte Anmeldeversuche ermöglichen,
- Bereitstellung von Informationen an einen Angreifer bei fehlgeschlagenen Anmeldungen,
- Anmeldeinformationen über unsichere Kanäle senden,
- Schwaches Hashing von Passwörtern,
- Und einen unsicheren Passwortwiederherstellungsprozess haben.
Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Sicherheitslücke. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, verwenden viel zu viele von ihnen leicht zu erratende Passwörter. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Passwörter, und „123456" und „Passwort“ sind immer unter den ersten fünf. Es gibt noch andere. Administratoren verwenden „Gott“ sehr gerne. Stimmt, die sind alle entweder humorvoll oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Passwörter und probieren sie zuerst aus, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Passwörtern in Ihrem Unternehmen zulässig ist, werden Sie irgendwann missbraucht.
Eine weniger offensichtliche, aber immer noch gefährliche Sicherheitslücke besteht darin, einem Benutzer Informationen über eine fehlgeschlagene Anmeldung zurückzugeben. Das ist schlimm, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, ermöglicht es Angreifern, gültige Benutzer auf einem System zu identifizieren und sich darauf zu konzentrieren, Passwörter nur für diese Benutzernamen zu erraten. In Kombination mit der Sicherheitslücke in der Authentifizierung, die ein unbegrenztes Erraten von Passwörtern ermöglicht, könnten Angreifer Wörterbuchangriffe gegen alle gültigen Benutzer ausführen, die sie gefunden haben, wodurch sie relativ schnell in ein System gelangen könnten, wenn das Passwort leicht zu erraten ist.
Warum sind Authentifizierungsschwachstellen so gefährlich?
Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Gehöftler, der dreifache Schlösser an seiner Haustür anbrachte, seine Fenster zugenagelte und mit vielen Waffen in Reichweite schlief. Am Morgen wurde er tot aufgefunden. Seine Angreifer haben ihn erwischt, weil er vergessen hat, die Hintertür abzuschließen. Sicherheitslücken bei der Authentifizierung sind sehr ähnlich. Es spielt wirklich keine Rolle, welche Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Expertenanalysten Sie einsetzen, wenn ein Angreifer mit einem gültigen Benutzernamen und Passwort in Ihr Netzwerk eindringen kann.
Einmal drinnen, gibt es nur sehr wenige Einschränkungen, was der Angreifer tun kann. Solange sie im Rahmen ihrer Benutzerberechtigungen handeln, die sehr umfangreich sein können, wenn sie ein Administratorkonto kompromittiert haben, ist die Wahrscheinlichkeit sehr gering, dass sie rechtzeitig gefasst werden, um ernsthafte Probleme zu vermeiden. Dies macht die Sicherheitslücken der Authentifizierungsklasse zu einer der gefährlichsten, die es auf jedem System gibt.
Beseitigung von Authentifizierungsschwachstellen
Eine der besten Möglichkeiten, Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, weltweit durchgesetzte Passwortrichtlinien. Benutzer, selbst Administratoren, sollten nicht nur daran gehindert werden, Passwörter wie „Passwort“ zu verwenden, sondern auch gezwungen werden, eine Komplexität hinzuzufügen, die es einem Angreifer unmöglich macht, einen Angriff nach Art eines Wörterbuches oder allgemeiner Ausdrücke durchzuführen. Sie können sich Ihre eigenen Regeln für die Passworterstellung ausdenken, je nachdem, wie wichtig das zu schützende System ist. Dadurch wird es für Angreifer viel schwieriger, Passwörter zu erraten oder Brute-Force-Angriffe durchzuführen.
Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche einschränken, sodass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als dreimal eingegeben wird. Die Sperrung kann vorübergehend sein, da selbst eine Verzögerung von wenigen Minuten verhindert, dass automatische Wörterbuchangriffe fortgesetzt werden. Sie kann aber auch dauerhaft sein, sofern das Konto nicht von einem Administrator entsperrt wird. In beiden Fällen sollte das Sicherheitspersonal bei einer solchen Sperrung alarmiert werden, damit es die Situation überwachen kann.
Eine weitere gute Methode, um zu verhindern, dass Angreifer Informationen sammeln, besteht darin, eine generische Nachricht zu verfassen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Es sollte in beiden Fällen dasselbe sein, damit Hacker nicht wissen, ob sie abgelehnt wurden, weil ein Benutzer nicht existiert oder weil er das falsche Passwort hat.
Authentifizierungsschwachstellen gehören auf den meisten Systemen zu den häufigsten und gefährlichsten. Sie sind aber auch relativ einfach zu finden und zu beseitigen.
Weitere Informationen zu Sicherheitslücken bei der Authentifizierung
Für weitere Informationen können Sie sich die OWASP ansehen Spickzettel zur Authentifizierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Treten Sie ein und stellen Sie sich einer Authentifizierungsschwachstelle in der Secure Code Warrior-Plattform direkt entgegen: [Fangen Sie hier an]
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.
Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Passwort in ein System einloggen kann, müssen keine fortgeschrittenen Techniken zur Bekämpfung der Netzwerkabwehr eingesetzt werden. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch, wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu erkennen, da die meisten Abwehrmechanismen ihn einfach als einen gültigen Benutzer oder Administrator ansehen, der seine Arbeit erledigt.
Die Kategorie der Authentifizierungsschwachstellen ist ziemlich umfangreich, aber wir werden auf die häufigsten Probleme eingehen, die dazu neigen, versehentlich in Benutzeranmeldeprozessen zu landen. Indem Sie diese Lücken schließen, können Sie die überwiegende Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.
In dieser Episode werden wir lernen:
- Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
- Warum sie so gefährlich sind
- Welche Richtlinien und Techniken können verwendet werden, um Authentifizierungsschwachstellen zu beseitigen.
Wie nutzen Angreifer Sicherheitslücken bei der Authentifizierung aus?
Es gibt eine ganze Reihe von Authentifizierungsschwachstellen, die sich in ein Authentifizierungssystem einschleichen können, sodass Hacker jede ein bisschen anders ausnutzen. Lassen Sie uns zunächst die häufigsten Sicherheitslücken durchgehen und dann anhand von Beispielen zeigen, wie einige von ihnen ausgenutzt werden könnten.
Zu den häufigsten Sicherheitslücken bei der Authentifizierung gehören:
- schwache oder unzureichende Passwortrichtlinien haben,
- Unbegrenzte Anmeldeversuche ermöglichen,
- Bereitstellung von Informationen an einen Angreifer bei fehlgeschlagenen Anmeldungen,
- Anmeldeinformationen über unsichere Kanäle senden,
- Schwaches Hashing von Passwörtern,
- Und einen unsicheren Passwortwiederherstellungsprozess haben.
Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Sicherheitslücke. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, verwenden viel zu viele von ihnen leicht zu erratende Passwörter. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Passwörter, und „123456" und „Passwort“ sind immer unter den ersten fünf. Es gibt noch andere. Administratoren verwenden „Gott“ sehr gerne. Stimmt, die sind alle entweder humorvoll oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Passwörter und probieren sie zuerst aus, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Passwörtern in Ihrem Unternehmen zulässig ist, werden Sie irgendwann missbraucht.
Eine weniger offensichtliche, aber immer noch gefährliche Sicherheitslücke besteht darin, einem Benutzer Informationen über eine fehlgeschlagene Anmeldung zurückzugeben. Das ist schlimm, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, ermöglicht es Angreifern, gültige Benutzer auf einem System zu identifizieren und sich darauf zu konzentrieren, Passwörter nur für diese Benutzernamen zu erraten. In Kombination mit der Sicherheitslücke in der Authentifizierung, die ein unbegrenztes Erraten von Passwörtern ermöglicht, könnten Angreifer Wörterbuchangriffe gegen alle gültigen Benutzer ausführen, die sie gefunden haben, wodurch sie relativ schnell in ein System gelangen könnten, wenn das Passwort leicht zu erraten ist.
Warum sind Authentifizierungsschwachstellen so gefährlich?
Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Gehöftler, der dreifache Schlösser an seiner Haustür anbrachte, seine Fenster zugenagelte und mit vielen Waffen in Reichweite schlief. Am Morgen wurde er tot aufgefunden. Seine Angreifer haben ihn erwischt, weil er vergessen hat, die Hintertür abzuschließen. Sicherheitslücken bei der Authentifizierung sind sehr ähnlich. Es spielt wirklich keine Rolle, welche Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Expertenanalysten Sie einsetzen, wenn ein Angreifer mit einem gültigen Benutzernamen und Passwort in Ihr Netzwerk eindringen kann.
Einmal drinnen, gibt es nur sehr wenige Einschränkungen, was der Angreifer tun kann. Solange sie im Rahmen ihrer Benutzerberechtigungen handeln, die sehr umfangreich sein können, wenn sie ein Administratorkonto kompromittiert haben, ist die Wahrscheinlichkeit sehr gering, dass sie rechtzeitig gefasst werden, um ernsthafte Probleme zu vermeiden. Dies macht die Sicherheitslücken der Authentifizierungsklasse zu einer der gefährlichsten, die es auf jedem System gibt.
Beseitigung von Authentifizierungsschwachstellen
Eine der besten Möglichkeiten, Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, weltweit durchgesetzte Passwortrichtlinien. Benutzer, selbst Administratoren, sollten nicht nur daran gehindert werden, Passwörter wie „Passwort“ zu verwenden, sondern auch gezwungen werden, eine Komplexität hinzuzufügen, die es einem Angreifer unmöglich macht, einen Angriff nach Art eines Wörterbuches oder allgemeiner Ausdrücke durchzuführen. Sie können sich Ihre eigenen Regeln für die Passworterstellung ausdenken, je nachdem, wie wichtig das zu schützende System ist. Dadurch wird es für Angreifer viel schwieriger, Passwörter zu erraten oder Brute-Force-Angriffe durchzuführen.
Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche einschränken, sodass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als dreimal eingegeben wird. Die Sperrung kann vorübergehend sein, da selbst eine Verzögerung von wenigen Minuten verhindert, dass automatische Wörterbuchangriffe fortgesetzt werden. Sie kann aber auch dauerhaft sein, sofern das Konto nicht von einem Administrator entsperrt wird. In beiden Fällen sollte das Sicherheitspersonal bei einer solchen Sperrung alarmiert werden, damit es die Situation überwachen kann.
Eine weitere gute Methode, um zu verhindern, dass Angreifer Informationen sammeln, besteht darin, eine generische Nachricht zu verfassen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Es sollte in beiden Fällen dasselbe sein, damit Hacker nicht wissen, ob sie abgelehnt wurden, weil ein Benutzer nicht existiert oder weil er das falsche Passwort hat.
Authentifizierungsschwachstellen gehören auf den meisten Systemen zu den häufigsten und gefährlichsten. Sie sind aber auch relativ einfach zu finden und zu beseitigen.
Weitere Informationen zu Sicherheitslücken bei der Authentifizierung
Für weitere Informationen können Sie sich die OWASP ansehen Spickzettel zur Authentifizierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Treten Sie ein und stellen Sie sich einer Authentifizierungsschwachstelle in der Secure Code Warrior-Plattform direkt entgegen: [Fangen Sie hier an]
%20(1).avif)
.avif)
