Häkkerid on suur oht nii ettevõtetele kui ka üksikisikutele. Autentimine peaks neid turvaaladest eemal hoidma, kuid see ei tööta alati.
Küberkurjategijatel on mitmeid nippe, mida saab kasutada seaduslike kasutajate kehastamiseks. See võimaldab neil juurdepääsu privaatsele teabele, mida nad ei peaks saama. Seejärel saab seda kasutada või müüa.
Häkkerid pääsevad sageli turvalistele aladele katkiste autentimishaavatavuste tõttu. Millised on need haavatavused ja kuidas saate neid ära hoida?
Mis on katkised autentimise haavatavused?
Rikkis autentimise haavatavus on mis tahes haavatavus, mis võimaldab ründajal esineda seadusliku kasutajana.
Õiguspärane kasutaja logib tavaliselt sisse kas parooli või seansi ID-ga. Seansi ID on midagi kasutaja arvutis, mis näitab, et ta on varem sisse loginud. Kui sirvite Internetti ja teil ei paluta mõnele oma kontole sisse logida, on põhjuseks see, et konto pakkuja on leidnud teie seansi ID.
Enamik katkiseid autentimise haavatavusi on probleemid seoses seansi ID-de või paroolide käsitlemisega. Rünnakute ärahoidmiseks peate uurima, kuidas häkker võib ühte neist üksustest kasutada, ja seejärel muutma süsteemi nii, et see oleks võimalikult keeruline.
Kuidas seansi ID-sid saadakse?
Olenevalt süsteemi ülesehitusest saab seansi ID-sid hankida mitmel erineval viisil. Kui seansi ID on aktsepteeritud, pääseb häkker ligi süsteemi mis tahes osale, mida seaduslik kasutaja saab.
Seansi kaaperdamine
Seansi kaaperdamine on seansi ID varastamine. Selle põhjuseks on sageli see, et kasutaja teeb vea ja muudab tema seansi ID kellelegi teisele hõlpsasti kättesaadavaks.
Kui kasutaja kasutab turvamata WiFi-ühendust, ei krüptita tema arvutisse minevaid ja sealt väljuvaid andmeid. Häkker võib siis olla võimeline pealtkuulama seansi ID-d, kui see süsteemist kasutajale saadetakse.
Palju lihtsam variant on see, kui kasutaja kasutab avalikku arvutit ja unustab välja logida. Selle stsenaariumi korral jääb seansi ID arvutisse ja sellele pääsevad juurde kõik.
Seansi ID URL-i ümberkirjutamine
Mõned süsteemid on loodud nii, et seansi ID-d salvestatakse URL-i. Pärast sellisesse süsteemi sisselogimist suunatakse kasutaja unikaalsele URL-ile. Seejärel pääseb kasutaja samale lehele uuesti süsteemi juurde.
See on problemaatiline, kuna igaüks, kes saab juurdepääsu kasutaja konkreetsele URL-ile, võib esineda selle kasutajana. See võib juhtuda, kui kasutaja kasutab turvamata WiFi-ühendust või kui ta jagab oma unikaalset URL-i kellegi teisega. URL-e jagatakse sageli võrgus ja pole harvad juhud, kui kasutajad jagavad seansi ID-sid teadmatult.
Kuidas paroole saadakse?
Paroole saab varastada või ära arvata mitmel erineval viisil nii kasutaja abiga kui ka ilma. Paljusid neist tehnikatest saab automatiseerida, võimaldades häkkeritel proovida ühe toiminguga murda tuhandeid paroole.
Parooli pihustamine
Paroolide pihustamine hõlmab nõrkade paroolide hulgiproovimist. Paljud süsteemid on loodud kasutajate lukustamiseks pärast mitut valet katset.
Paroolide pihustamine aitab probleemi lahendada, proovides sadadel kontodel nõrku paroole, selle asemel, et sihtida üksikut kontot. See võimaldab ründajal proovida paroole hulgi ilma süsteemi hoiatamata.
Mandaadi täitmine
Mandaadi täitmine on varastatud paroolide kasutamine privaatkontodele hulgi juurde pääsemiseks. Varastatud paroolid on Internetis laialdaselt saadaval. Iga kord, kui veebisaidile häkitakse, võidakse kasutaja andmed varastada ja häkker müüb need sageli edasi.
Mandaadi lisamine hõlmab nende kasutajaandmete ostmist ja seejärel nende hulgiproovimist veebisaitidel. Kuna paroole kasutatakse sageli uuesti, saab mitmele kontole sisselogimiseks sageli kasutada ühte kasutajanime ja parooli paari.
Andmepüük
Andmepüügimeil on e-kiri, mis näib olevat seaduslik, kuid on tegelikult mõeldud inimeste paroolide ja muude privaatsete andmete varastamiseks. Andmepüügimeilis palutakse kasutajal külastada veebilehte ja logida sisse kontole, mis talle kuulub. Pakutav veebileht on aga pahatahtlik ja kogu sisestatud teave varastatakse kohe.
Kuidas seansihaldust parandada
Häkkeri võimalus seansi ID-de abil kasutajana esineda sõltub süsteemi ülesehitusest.
Ärge salvestage seansi ID-sid URL-idesse
Seansi ID-sid ei tohiks kunagi URL-idesse salvestada. Küpsised sobivad ideaalselt seansi ID-de jaoks ja neile on ründajal palju raskem juurde pääseda.
Rakendage automaatseid väljalogimisi
Kasutajad tuleks pärast teatud passiivsust oma kontodelt välja logida. Pärast juurutamist ei saa varastatud seansi ID-d enam kasutada.
Pöörake seansi ID-sid
Seansi ID-sid tuleks regulaarselt välja vahetada, isegi ilma, et kasutaja peaks välja logima. See toimib alternatiivina automaatsetele väljalogimistele ja hoiab ära stsenaariumi, kus ründaja saab varastatud seansi ID-d kasutada nii kaua, kui kasutaja seda kasutab.
Kuidas paroolipoliitikat täiustada
Kõik privaatsed alad peaksid nõuavad tugevaid paroole ja kasutajatel tuleks paluda täiendavat autentimist.
Rakendage paroolireeglid
Iga süsteem, mis paroole vastu võtab, peaks sisaldama reegleid selle kohta, milliseid paroole aktsepteeritakse. Kasutajad peaksid esitama minimaalse pikkusega parooli ja mitut tähemärki.
Muutke kahefaktoriline autentimine kohustuslikuks
Paroole on lihtne varastada ja parim viis häkkerite kasutamise vältimiseks on rakendada kahefaktorilist autentimist. See nõuab kasutajalt mitte ainult parooli sisestamist, vaid ka muu teabe esitamist, mis tavaliselt salvestatakse ainult tema seadmesse.
Pärast juurutamist ei pääse häkker kontole juurde, isegi kui ta teab parooli.
Katkised autentimise haavatavused on märkimisväärne oht
Katkestatud autentimise haavatavused on oluline probleem kõigis privaatset teavet salvestavates süsteemides. Need võimaldavad häkkeritel esineda seaduslike kasutajatena ja pääseda juurde kõigile neile kättesaadavatele aladele.
Katkine autentimine viitab tavaliselt probleemidele, mis on seotud seansside haldamise või paroolide kasutamisega. Mõistes, kuidas häkkerid võivad üritada süsteemile juurde pääseda, on võimalik muuta see võimalikult keeruliseks.
Süsteemid tuleks kavandada nii, et seansi ID-d poleks kergesti ligipääsetavad ega töötaks kauem kui vaja. Samuti ei tohiks loota paroolidele kui ainsatele kasutaja autentimise vahenditele.
