Les codeurs conquièrent la sécurité : série Share & Learn - Authentification
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Nous allons aborder l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
목차
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
