Hakeri ir milzīgs drauds gan uzņēmumiem, gan privātpersonām. Autentifikācijai ir paredzēts, lai tās neatrastos drošās zonās, taču tā ne vienmēr darbojas.
Kibernoziedzniekiem ir virkne triku, ko var izmantot, lai uzdotos par likumīgiem lietotājiem. Tas ļauj viņiem piekļūt privātai informācijai, kas viņiem nav paredzēta. Pēc tam to var izmantot vai pārdot.
Hakeri bieži var piekļūt drošām zonām bojātu autentifikācijas ievainojamību dēļ. Tātad, kas ir šīs ievainojamības, un kā jūs varat tās novērst?
Kas ir bojātas autentifikācijas ievainojamības?
Bojāta autentifikācijas ievainojamība ir jebkura ievainojamība, kas ļauj uzbrucējam uzdoties par likumīgu lietotāju.
Likumīgs lietotājs parasti piesakās, izmantojot paroli vai sesijas ID. Sesijas ID ir kaut kas lietotāja datorā, kas norāda, ka viņš ir iepriekš pieteicies. Ikreiz, kad pārlūkojat internetu un jums netiek lūgts pieteikties kādā no saviem kontiem, tas notiek tāpēc, ka konta nodrošinātājs ir atradis jūsu sesijas ID.
Lielākā daļa bojāto autentifikācijas ievainojamību ir problēmas ar sesiju ID vai paroļu apstrādi. Lai novērstu uzbrukumus, jums ir jāizpēta, kā hakeris varētu izmantot kādu no šiem vienumiem, un pēc tam jāmaina sistēma, lai padarītu to pēc iespējas grūtāku.
Kā tiek iegūti sesijas ID?
Atkarībā no tā, kā sistēma ir izstrādāta, sesijas ID var iegūt dažādos veidos. Kad sesijas ID ir pieņemts, hakeris var piekļūt jebkurai sistēmas daļai, ko var likumīgs lietotājs.
Sesijas nolaupīšana
Sesijas nolaupīšana ir sesijas ID nozagšana. To bieži izraisa tas, ka lietotājs pieļauj kļūdu un padara viņa sesijas ID viegli pieejamu kādam citam.
Ja lietotājs izmanto neaizsargātu Wi-Fi, dati, kas tiek nosūtīti uz datoru un no tā, netiks šifrēti. Pēc tam hakeris var pārtvert sesijas ID, kad tas tiek nosūtīts no sistēmas lietotājam.
Daudz vienkāršāka iespēja ir, ja lietotājs izmanto publisku datoru un aizmirst izrakstīties. Šādā gadījumā sesijas ID paliek datorā, un tam var piekļūt ikviens.
Sesijas ID URL pārrakstīšana
Dažas sistēmas ir izstrādātas tā, ka sesijas ID tiek saglabāti vietrādī URL. Pēc pieteikšanās šādā sistēmā lietotājs tiek novirzīts uz unikālu URL. Pēc tam lietotājs var vēlreiz piekļūt sistēmai, apmeklējot to pašu lapu.
Tas ir problemātiski, jo ikviens, kurš iegūst piekļuvi konkrētam lietotāja URL, var uzdoties par šo lietotāju. Tas var notikt, ja lietotājs izmanto neaizsargātu Wi-Fi tīklu vai kopīgo savu unikālo URL ar kādu citu. Vietrāži URL bieži tiek kopīgoti tiešsaistē, un nav nekas neparasts, ka lietotāji neapzināti koplieto sesijas ID.
Kā tiek iegūtas paroles?
Paroles var nozagt vai uzminēt dažādos veidos gan ar lietotāja palīdzību, gan bez tās. Daudzas no šīm metodēm var tikt automatizētas, ļaujot hakeriem ar vienu darbību mēģināt uzlauzt tūkstošiem paroļu.
Paroles izsmidzināšana
Paroļu izsmidzināšana ietver vāju paroļu lielapjoma izmēģināšanu. Daudzas sistēmas ir izstrādātas, lai bloķētu lietotājus pēc vairākiem nepareiziem mēģinājumiem.
Paroles izsmidzināšana novērš šo problēmu, mēģinot izmantot vājas paroles simtiem kontu, nevis mērķēt uz atsevišķu kontu. Tas ļauj uzbrucējam masveidā mēģināt ievadīt paroles, nebrīdinot sistēmu.
Akreditācijas datu pildījums
Akreditācijas datu pildīšana ir darbība, kurā tiek izmantotas zagtas paroles, lai masveidā mēģinātu piekļūt privātiem kontiem. Nozagtas paroles ir plaši pieejamas tiešsaistē. Ikreiz, kad tiek uzlauzta vietne, lietotāja informācija var tikt nozagta, un hakeris to bieži pārdod tālāk.
Akreditācijas datu papildināšana ietver šīs lietotāja informācijas iegādi un pēc tam to izmēģināšanu vietnēs vairumā. Tā kā paroles bieži tiek izmantotas atkārtoti, vienu lietotājvārdu un paroļu pāri bieži var izmantot, lai pieteiktos vairākos kontos.
Pikšķerēšana
Pikšķerēšanas e-pasts ir e-pasts, kas šķiet likumīgs, taču patiesībā ir paredzēts, lai nozagtu cilvēku paroles un citu privātu informāciju. Pikšķerēšanas e-pastā lietotājam tiek lūgts apmeklēt tīmekļa lapu un pieteikties kontā, kas viņam pieder. Tomēr nodrošinātā vietne ir ļaunprātīga, un visa ievadītā informācija tiek nekavējoties nozagta.
Kā uzlabot sesiju pārvaldību
Hakera iespēja uzdoties par lietotāju, izmantojot sesijas ID, ir atkarīga no sistēmas projektēšanas.
Neglabājiet sesijas ID vietrāžos URL
Sesiju ID nekad nedrīkst saglabāt vietrāžos URL. Sīkfaili ir ideāli piemēroti sesijas ID, un uzbrucējam tiem ir daudz grūtāk piekļūt.
Ieviesiet automātiskās atteikšanās
Lietotāji ir jāiziet no saviem kontiem pēc noteiktas neaktivitātes. Pēc ieviešanas nozagto sesijas ID vairs nevar izmantot.
Pagrieziet sesijas ID
Sesijas ID ir regulāri jāaizstāj, pat ja lietotājam nav jāatsakās. Tas darbojas kā alternatīva automātiskajai atteikšanai un novērš scenāriju, kurā uzbrucējs var izmantot nozagtu sesijas ID tik ilgi, cik to dara lietotājs.
Kā uzlabot paroles politikas
Visām privātajām zonām vajadzētu nepieciešamas spēcīgas paroles un lietotājiem ir jālūdz nodrošināt papildu autentifikāciju.
Ieviesiet paroles noteikumus
Jebkurā sistēmā, kas pieņem paroles, ir jāiekļauj noteikumi par to, kuras paroles tiek pieņemtas. Lietotājiem ir jāiesniedz parole ar minimālu garumu un rakstzīmju kombināciju.
Padariet divu faktoru autentifikāciju obligātu
Paroles ir viegli nozagtas, un labākais veids, kā neļaut hakeriem tās izmantot, ir ieviest divu faktoru autentifikāciju. Lai to izdarītu, lietotājam ir ne tikai jāievada sava parole, bet arī jāievada cita informācija, kas parasti tiek glabāta tikai savā ierīcē.
Pēc ieviešanas hakeris nevarēs piekļūt kontam, pat ja zina paroli.
Bojātas autentifikācijas ievainojamības ir nozīmīgs drauds
Bojātas autentifikācijas ievainojamības ir nopietna problēma jebkurā sistēmā, kurā tiek glabāta privāta informācija. Tie ļauj hakeriem uzdoties par likumīgiem lietotājiem un piekļūt jebkurai viņiem pieejamai vietai.
Bojāta autentifikācija parasti attiecas uz problēmām, kas saistītas ar sesiju pārvaldību vai paroļu izmantošanu. Izprotot, kā hakeri var mēģināt piekļūt sistēmai, to var padarīt pēc iespējas grūtāku.
Sistēmām jābūt veidotām tā, lai sesijas ID nebūtu viegli pieejami un nedarbotos ilgāk, nekā nepieciešams. Tāpat nevajadzētu paļauties uz parolēm kā vienīgo lietotāja autentifikācijas līdzekli.