A hozzád hasonló olvasók támogatják a MUO-t. Amikor a webhelyünkön található linkek használatával vásárol, társult jutalékot kaphatunk. Olvass tovább.

A hackerek óriási veszélyt jelentenek a vállalkozásokra és az egyénekre egyaránt. A hitelesítésnek távol kell tartania őket a biztonságos területektől, de ez nem mindig működik.

A kiberbűnözők egy sor trükköt használhatnak a jogos felhasználók megszemélyesítésére. Ez lehetővé teszi számukra, hogy hozzáférjenek olyan személyes információkhoz, amelyekhez nem kellene. Ezt aztán fel lehet használni vagy eladni.

A hackerek gyakran a meghibásodott hitelesítési sebezhetőségek miatt tudnak hozzáférni a biztonságos területekhez. Tehát mik ezek a sebezhetőségek, és hogyan előzheti meg őket?

Mik azok a törött hitelesítési sebezhetőségek?

A meghibásodott hitelesítési biztonsági rés minden olyan biztonsági rés, amely lehetővé teszi a támadó számára, hogy jogos felhasználónak adja ki magát.

A jogos felhasználó általában jelszóval vagy munkamenet-azonosítóval jelentkezik be. A munkamenet-azonosító a felhasználó számítógépén található valami, amely azt jelzi, hogy korábban bejelentkezett. Amikor az internetet böngészi, és nem kérik, hogy jelentkezzen be valamelyik fiókjába, ez azért van, mert a fiókszolgáltató megtalálta a munkamenet-azonosítóját.

instagram viewer

A legtöbb meghibásodott hitelesítési sebezhetőség a munkamenet-azonosítók vagy a jelszavak kezelésével kapcsolatos probléma. A támadások megelőzése érdekében meg kell vizsgálnia, hogyan használhatja fel a hacker ezen elemek egyikét, majd módosítania kell a rendszert, hogy ezt a lehető legnehezebbé tegye.

Hogyan szerezhetők be a munkamenet-azonosítók?

A rendszer kialakításától függően a munkamenet-azonosítók számos különböző módon szerezhetők be. A munkamenet-azonosító elfogadása után a hacker hozzáférhet a rendszer bármely olyan részéhez, amelyhez a jogos felhasználó hozzáfér.

Munkamenet-eltérítés

Munkamenet-eltérítés egy munkamenet-azonosító ellopása. Ezt gyakran az okozza, hogy a felhasználó hibát követ el, és a munkamenet-azonosítóját könnyen elérhetővé teszi valaki más számára.

Ha a felhasználó nem biztonságos Wi-Fi-t használ, a számítógépére érkező és onnan érkező adatok nem lesznek titkosítva. A hacker ezután elfoghatja a munkamenet-azonosítót, ahogy azt a rendszer elküldi a felhasználónak.

Sokkal egyszerűbb megoldás, ha a felhasználó nyilvános számítógépet használ, és elfelejt kijelentkezni. Ebben az esetben a munkamenet-azonosító a számítógépen marad, és bárki hozzáférhet.

Munkamenet-azonosító URL újraírása

Egyes rendszereket úgy terveztek, hogy a munkamenet-azonosítók egy URL-ben tárolódnak. Az ilyen rendszerbe való bejelentkezés után a felhasználó egy egyedi URL-re kerül. A felhasználó ezután újra hozzáférhet a rendszerhez ugyanazon az oldalon.

Ez azért problémás, mert bárki, aki hozzáfér egy felhasználó konkrét URL-jéhez, kiadhatja magát a felhasználónak. Ez akkor fordulhat elő, ha a felhasználó nem biztonságos Wi-Fi-t használ, vagy ha megosztja egyedi URL-jét valaki mással. Az URL-eket gyakran online osztják meg, és nem ritka, hogy a felhasználók tudtukon kívül megosztják a munkamenet-azonosítókat.

Hogyan szerezhetők be a jelszavak?

A jelszavakat többféleképpen el lehet lopni vagy kitalálni felhasználói segítséggel és anélkül is. Ezen technikák közül sok automatizálható, lehetővé téve a hackerek számára, hogy egyetlen művelettel több ezer jelszót próbáljanak feltörni.

Jelszó permetezés

A jelszópermetezés magában foglalja a gyenge jelszavak tömeges kipróbálását. Sok rendszert úgy terveztek, hogy több helytelen próbálkozás után kizárják a felhasználókat.

A jelszószórással ezt a problémát úgy lehet megkerülni, hogy több száz fiókban próbálkozik gyenge jelszavakkal, ahelyett, hogy egyéni fiókot célozna meg. Ez lehetővé teszi a támadó számára, hogy tömegesen próbálkozzon jelszavakkal a rendszer figyelmeztetése nélkül.

Hitelesítési adatok kitöltése

A hitelesítő adatok kitöltése az a cselekmény, amikor lopott jelszavakkal próbálnak tömegesen hozzáférni privát fiókokhoz. Az ellopott jelszavak széles körben elérhetők az interneten. Amikor egy webhelyet feltörnek, a felhasználói adatokat ellophatják, és a hacker gyakran továbbadja azokat.

A hitelesítő adatok kitöltése magában foglalja a felhasználói adatok megvásárlását, majd a webhelyeken való tömeges kipróbálását. Mivel a jelszavakat gyakran újrafelhasználják, egyetlen felhasználónév és jelszó páros gyakran használható több fiókba való bejelentkezéshez.

Adathalászat

Adathalász e-mail egy olyan e-mail, amely legitimnek tűnik, de valójában arra készült, hogy ellopja az emberek jelszavait és egyéb személyes adatait. Az adathalász e-mailekben a felhasználót arra kérik, hogy látogasson el egy weboldalra, és jelentkezzen be a saját fiókjába. A megadott weboldal azonban rosszindulatú, és minden megadott információt azonnal ellopnak.

Hogyan lehet javítani a munkamenet-kezelést

A rendszer kialakításától függ, hogy a hackerek képesek-e kiadni egy felhasználónak a munkamenet-azonosítókat.

Ne tároljon munkamenet-azonosítókat az URL-ekben

A munkamenet-azonosítókat soha nem szabad URL-ekben tárolni. A cookie-k ideálisak a munkamenet-azonosítókhoz, és sokkal nehezebben férhetnek hozzá a támadó.

Automatikus kijelentkezés végrehajtása

A felhasználókat bizonyos mértékű inaktivitás után ki kell jelentkezniük a fiókjukból. A megvalósítást követően az ellopott munkamenet-azonosító már nem használható.

A munkamenet-azonosítók forgatása

A munkamenet-azonosítókat rendszeresen cserélni kell, még akkor is, ha a felhasználónak nem kell kijelentkeznie. Ez az automatikus kijelentkezés alternatívájaként működik, és megakadályozza azt a forgatókönyvet, amikor a támadó addig használhatja az ellopott munkamenet-azonosítót, ameddig a felhasználó használja.

A jelszószabályok javítása

Minden privát területen kell erős jelszavakat igényel és a felhasználókat további hitelesítés biztosítására kell kérni.

Jelszószabályok végrehajtása

Minden jelszavakat elfogadó rendszernek szabályokat kell tartalmaznia arra vonatkozóan, hogy milyen jelszavakat fogadnak el. A felhasználóknak minimális hosszúságú és vegyes karakterekből álló jelszót kell megadniuk.

Tegye kötelezővé a kéttényezős hitelesítést

A jelszavak könnyen ellophatók, és a legjobb módja annak, hogy a hackerek ne használják őket, a kéttényezős hitelesítés alkalmazása. Ez megköveteli, hogy a felhasználó ne csak a jelszavát adja meg, hanem egy másik, általában csak az eszközén tárolt információt is meg kell adnia.

A megvalósítást követően a hacker nem férhet hozzá a fiókhoz, még akkor sem, ha ismeri a jelszót.

A meghibásodott hitelesítési sebezhetőségek jelentős veszélyt jelentenek

A meghibásodott hitelesítési biztonsági rések jelentős problémát jelentenek minden olyan rendszeren, amely személyes adatokat tárol. Lehetővé teszik a hackerek számára, hogy jogos felhasználóknak adjanak ki magukat, és hozzáférjenek a számukra elérhető bármely területhez.

A meghibásodott hitelesítés általában a munkamenetek kezelésével vagy a jelszavak használatával kapcsolatos problémákra utal. Ha megértjük, hogyan próbálhatnak meg a hackerek hozzáférni egy rendszerhez, ezt a lehető legnehezebbé teheti.

A rendszereket úgy kell megtervezni, hogy a munkamenet-azonosítók ne legyenek könnyen hozzáférhetők, és ne működjenek tovább a szükségesnél. A jelszavakra sem szabad támaszkodni, mint a felhasználói hitelesítés egyetlen eszközére.