Hackeri sú obrovskou hrozbou pre firmy aj jednotlivcov. Autentifikácia ich má držať mimo zabezpečených oblastí, no nie vždy to funguje.
Kyberzločinci majú celý rad trikov, ktoré možno použiť na vydávanie sa za legitímnych používateľov. To im umožňuje prístup k súkromným informáciám, ktoré by nemali mať. To sa potom môže použiť alebo predať.
Hackeri majú často prístup k zabezpečeným oblastiam kvôli narušeným zraniteľným miestam v autentifikácii. Aké sú teda tieto zraniteľnosti a ako im môžete zabrániť?
Čo sú slabé miesta pri nefunkčnom overovaní?
Nefunkčná chyba zabezpečenia je akákoľvek zraniteľnosť, ktorá umožňuje útočníkovi vydávať sa za legitímneho používateľa.
Legitímny používateľ sa zvyčajne prihlasuje pomocou hesla alebo ID relácie. ID relácie je niečo v počítači používateľa, ktoré označuje, že sa už predtým prihlásil. Kedykoľvek si prehliadate internet a nebudete vyzvaní na prihlásenie do niektorého z vašich účtov, je to preto, že poskytovateľ účtu našiel vaše ID relácie.
Väčšina zraniteľných miest nefunkčnej autentifikácie sú problémy so spôsobom, akým sa zaobchádza s ID relácií alebo s heslami. Aby ste predišli útokom, musíte sa pozrieť na to, ako by hacker mohol využiť jednu z týchto položiek, a potom upraviť systém tak, aby to bolo čo najťažšie.
Ako sa získavajú ID relácií?
V závislosti od toho, ako je systém navrhnutý, je možné získať ID relácie rôznymi spôsobmi. Po prijatí ID relácie môže hacker pristupovať ku ktorejkoľvek časti systému, ktorú má legitímny používateľ.
Únos relácie
Únos relácie je akt krádeže ID relácie. Toto je často spôsobené tým, že používateľ urobí chybu a spôsobí, že jeho ID relácie bude ľahko dostupné niekomu inému.
Ak používateľ používa nezabezpečenú sieť Wi-Fi, údaje smerujúce do a z jeho počítača nebudú šifrované. Hacker potom môže zachytiť ID relácie pri odosielaní zo systému používateľovi.
Oveľa jednoduchšou možnosťou je, ak používateľ používa verejný počítač a zabudne sa odhlásiť. V tomto scenári zostáva ID relácie v počítači a môže k nemu pristupovať ktokoľvek.
Prepis adresy URL ID relácie
Niektoré systémy sú navrhnuté tak, že ID relácie sú uložené v adrese URL. Po prihlásení do takéhoto systému je používateľ presmerovaný na jedinečnú URL. Používateľ potom môže znova pristupovať do systému návštevou tej istej stránky.
Je to problematické, pretože ktokoľvek, kto získa prístup ku konkrétnej adrese URL používateľa, sa môže za tohto používateľa vydávať. Môže k tomu dôjsť, ak používateľ používa nezabezpečenú sieť Wi-Fi alebo ak zdieľa svoju jedinečnú adresu URL s niekým iným. Adresy URL sa často zdieľajú online a nie je nezvyčajné, aby používatelia zdieľali ID relácie nevedomky.
Ako sa získavajú heslá?
Heslá je možné ukradnúť alebo uhádnuť rôznymi spôsobmi s pomocou používateľa aj bez neho. Mnohé z týchto techník možno automatizovať, čo umožňuje hackerom pokúsiť sa prelomiť tisíce hesiel v rámci jednej akcie.
Striekanie hesla
Striekanie hesiel zahŕňa hromadné skúšanie slabých hesiel. Mnohé systémy sú navrhnuté tak, aby uzamkli používateľov po viacerých nesprávnych pokusoch.
Striekanie hesla rieši tento problém pokusom o slabé heslá na stovkách účtov namiesto pokusu o zacielenie na individuálny účet. To umožňuje útočníkovi hromadne zadávať heslá bez toho, aby upozornil systém.
Plnenie poverení
Plnenie poverení je akt použitia ukradnutých hesiel na pokus o hromadný prístup k súkromným účtom. Ukradnuté heslá sú bežne dostupné online. Kedykoľvek je webová stránka napadnutá, môžu byť odcudzené používateľské údaje a hacker ich často ďalej predáva.
Plnenie poverení zahŕňa nákup týchto údajov o používateľovi a ich hromadné vyskúšanie na webových stránkach. Keďže heslá sa často používajú opakovane, na prihlásenie do viacerých účtov možno často použiť jeden pár používateľského mena a hesla.
Phishing
Phishingový e-mail je e-mail, ktorý sa javí ako legitímny, ale v skutočnosti je určený na odcudzenie hesiel a iných súkromných údajov ľudí. Vo phishingovom e-maile je používateľ vyzvaný, aby navštívil webovú stránku a prihlásil sa do účtu, ktorý vlastní. Poskytnutá webová stránka je však škodlivá a akékoľvek zadané informácie sú okamžite odcudzené.
Ako zlepšiť správu relácií
Schopnosť hackera vydávať sa za používateľa pomocou ID relácie závisí od toho, ako je systém navrhnutý.
Neukladajte ID relácií do adries URL
ID relácií by sa nikdy nemali ukladať do adries URL. Súbory cookie sú ideálne pre ID relácie a útočník k nim má oveľa ťažšie prístup.
Implementujte automatické odhlásenia
Používatelia by mali byť odhlásení zo svojich účtov po určitej dobe nečinnosti. Po implementácii sa ukradnuté ID relácie už nedá použiť.
Rotovať ID relácií
ID relácií by sa mali pravidelne vymieňať aj bez toho, aby sa používateľ musel odhlásiť. Funguje to ako alternatíva k automatickým odhláseniam a zabraňuje scenáru, v ktorom môže útočník používať ukradnuté ID relácie tak dlho ako používateľ.
Ako zlepšiť zásady hesiel
Všetky súkromné oblasti by mali vyžadujú silné heslá a používatelia by mali byť požiadaní o dodatočné overenie.
Implementujte pravidlá hesiel
Každý systém, ktorý prijíma heslá, by mal obsahovať pravidlá týkajúce sa toho, aké heslá sú akceptované. Od používateľov by sa malo vyžadovať, aby poskytli heslo s minimálnou dĺžkou a kombináciou znakov.
Urobte dvojfaktorové overenie povinné
Heslá sa dajú ľahko ukradnúť a najlepší spôsob, ako zabrániť hackerom v ich používaní, je implementovať dvojfaktorovú autentifikáciu. Vyžaduje si to od používateľa nielen zadanie hesla, ale aj poskytnutie ďalšej informácie, ktorá je zvyčajne uložená iba v jeho zariadení.
Po implementácii nebude mať hacker prístup k účtu, aj keď bude poznať heslo.
Zraniteľnosť narušenej autentifikácie je významnou hrozbou
Zraniteľnosť narušenej autentifikácie je závažným problémom každého systému, ktorý uchováva súkromné informácie. Umožňujú hackerom vydávať sa za legitímnych používateľov a pristupovať do akejkoľvek oblasti, ktorá je im dostupná.
Nefunkčná autentifikácia sa zvyčajne týka problémov so spôsobom riadenia relácií alebo používaním hesiel. Pochopením toho, ako sa hackeri môžu pokúsiť získať prístup k systému, je možné to maximálne sťažiť.
Systémy by mali byť navrhnuté tak, aby ID relácie neboli ľahko dostupné a nefungovali dlhšie, ako je potrebné. Na heslá by sa tiež nemalo spoliehať ako na jediný prostriedok autentifikácie používateľa.
