Hackere er en enorm trussel for både virksomheder og enkeltpersoner. Autentificering skal holde dem væk fra sikre områder, men det virker ikke altid.
Cyberkriminelle har en række tricks, der kan bruges til at efterligne legitime brugere. Dette giver dem adgang til private oplysninger, som de ikke skal. Dette kan så bruges eller sælges.
Hackere er ofte i stand til at få adgang til sikre områder på grund af brudte autentificeringssårbarheder. Så hvad er disse sårbarheder, og hvordan kan du forhindre dem?
Hvad er ødelagte autentificeringssårbarheder?
En brudt autentificeringssårbarhed er enhver sårbarhed, der gør det muligt for en angriber at efterligne en legitim bruger.
En legitim bruger logger typisk ind med enten en adgangskode eller et sessions-id. Et sessions-id er noget på brugerens computer, der indikerer, at vedkommende tidligere har logget ind. Når du surfer på internettet og ikke bliver bedt om at logge ind på en af dine konti, er det fordi kontoudbyderen har fundet dit sessions-id.
De fleste ødelagte autentificeringssårbarheder er problemer med, hvordan enten sessions-id'er eller adgangskoder håndteres. For at forhindre angreb skal du se på, hvordan en hacker kan bruge et af disse elementer, og derefter ændre systemet for at gøre det så vanskeligt som muligt.
Hvordan opnås sessions-id'er?
Afhængigt af hvordan et system er designet, kan sessions-id'er fås på en række forskellige måder. Når sessions-id'et er accepteret, kan hackeren få adgang til enhver del af systemet, som en legitim bruger kan.
Sessionskapring
Sessionkapring er handlingen at stjæle et sessions-id. Dette skyldes ofte, at brugeren laver en fejl og får deres sessions-id til at være let tilgængeligt for en anden.
Hvis brugeren bruger usikret Wi-Fi, bliver de data, der går til og fra deres computer, ikke krypteret. En hacker kan så være i stand til at opsnappe sessions-id'et, når det sendes fra systemet til brugeren.
En meget nemmere mulighed er, hvis brugeren bruger en offentlig computer og glemmer at logge ud. I dette scenarie forbliver sessions-id'et på computeren og kan tilgås af alle.
Session ID URL-omskrivning
Nogle systemer er designet på en sådan måde, at sessions-id'er gemmes i en URL. Efter at have logget ind på et sådant system, ledes brugeren til en unik URL. Brugeren kan derefter få adgang til systemet igen ved at besøge samme side.
Dette er problematisk, fordi enhver, der får adgang til en brugers specifikke URL, kan efterligne denne bruger. Dette kan forekomme, hvis en bruger bruger usikret Wi-Fi, eller hvis de deler deres unikke URL med en anden. URL'er deles ofte online, og det er ikke ualmindeligt, at brugere deler sessions-id'er ubevidst.
Hvordan opnås adgangskoder?
Adgangskoder kan stjæles eller gættes på en række forskellige måder både med og uden brugerhjælp. Mange af disse teknikker kan automatiseres, så hackere kan forsøge at knække tusindvis af adgangskoder i en enkelt handling.
Adgangskodesprøjtning
Adgangskodesprøjtning involverer at prøve svage adgangskoder i bulk. Mange systemer er designet til at låse brugere ude efter flere forkerte forsøg.
Adgangskodesprøjtning omgår dette problem ved at forsøge svage adgangskoder på hundredvis af konti i stedet for at forsøge at målrette mod en individuel konto. Dette gør det muligt for angriberen at prøve adgangskoder i bulk uden at advare systemet.
Credential Stuffing
Credential stuffing er handlingen med at bruge stjålne adgangskoder til at forsøge at få adgang til private konti i bulk. Stjålne adgangskoder er bredt tilgængelige online. Når et websted hackes, kan brugeroplysninger blive stjålet, og de sælges ofte videre af hackeren.
Credential stuffing involverer at købe disse brugeroplysninger og derefter prøve dem på websteder i bulk. Fordi adgangskoder ofte genbruges, kan et enkelt brugernavn og adgangskodepar ofte bruges til at logge ind på flere konti.
Phishing
En phishing-e-mail er en e-mail, der ser ud til at være legitim, men som faktisk er designet til at stjæle folks adgangskoder og andre private detaljer. I en phishing-e-mail bliver brugeren bedt om at besøge en webside og logge ind på en konto, som vedkommende ejer. Den angivne webside er dog ondsindet, og enhver indtastet information bliver straks stjålet.
Sådan forbedres sessionsstyring
Muligheden for en hacker til at efterligne en bruger ved hjælp af sessions-id'er afhænger af, hvordan et system er designet.
Gem ikke sessions-id'er i URL'er
Sessions-id'er bør aldrig gemmes i URL'er. Cookies er ideelle til sessions-id'er og er meget sværere at få adgang til for en hacker.
Implementer automatiske logouts
Brugere skal logges ud af deres konti efter en vis mængde inaktivitet. Når først det er implementeret, kan et stjålet sessions-id ikke længere bruges.
Roter sessions-id'er
Sessions-id'er bør regelmæssigt udskiftes, selv uden at brugeren skal logge ud. Dette fungerer som et alternativ til automatiske logout og forhindrer et scenarie, hvor en angriber kan bruge et stjålet sessions-id lige så længe, som brugeren gør.
Sådan forbedres adgangskodepolitikker
Alle private områder skal kræver stærke adgangskoder og brugere skal anmodes om at give yderligere godkendelse.
Implementer adgangskoderegler
Ethvert system, der accepterer adgangskoder, bør indeholde regler om, hvilke adgangskoder der accepteres. Brugere skal være forpligtet til at angive en adgangskode af en minimumslængde og en blanding af tegn.
Gør tofaktorautentificering obligatorisk
Adgangskoder stjæles let, og den bedste måde at forhindre hackere i at bruge dem på er at implementere tofaktorautentificering. Dette kræver, at en bruger ikke kun indtaster deres adgangskode, men også angiver en anden information, som normalt kun er gemt på deres enhed.
Når den er implementeret, vil en hacker ikke kunne få adgang til kontoen, selvom de kender adgangskoden.
Ødelagte autentificeringssårbarheder er en betydelig trussel
Brudte autentificeringssårbarheder er et betydeligt problem på ethvert system, der gemmer private oplysninger. De tillader hackere at efterligne legitime brugere og få adgang til ethvert område, som er tilgængeligt for dem.
Brudt godkendelse refererer typisk til problemer med, hvordan sessioner administreres, eller hvordan adgangskoder bruges. Ved at forstå, hvordan hackere kan forsøge at få adgang til et system, er det muligt at gøre det så svært som muligt.
Systemer bør designes, så sessions-id'er ikke er let tilgængelige og ikke fungerer længere end nødvendigt. Adgangskoder bør heller ikke stoles på som det eneste middel til brugergodkendelse.
