Coders Conquer Security: Share & Learn Series - Authentifizierung
In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.
Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.
Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.
In dieser Folge lernen wir:
- Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
- Warum sie so gefährlich sind
- Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.
Wie nutzen Angreifer Authentifizierungsschwachstellen aus?
Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.
Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:
- Schwache oder unzureichende Passwortrichtlinien haben,
- Unbegrenzte Anmeldeversuche zulassen,
- Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
- Senden von Anmeldedaten über unsichere Kanäle,
- Schwaches Hashing von Passwörtern,
- Und mit einem unsicheren Passwort-Wiederherstellungsprozess.
Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.
Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.
Warum sind Authentifizierungsschwachstellen so gefährlich?
Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.
Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.
Beseitigung von Schwachstellen bei der Authentifizierung
Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.
Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.
Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.
Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.
Weitere Informationen über Sicherheitslücken bei der Authentifizierung
Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]
Wir werden eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.
Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.
Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.
In dieser Folge lernen wir:
- Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
- Warum sie so gefährlich sind
- Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.
Wie nutzen Angreifer Authentifizierungsschwachstellen aus?
Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.
Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:
- Schwache oder unzureichende Passwortrichtlinien haben,
- Unbegrenzte Anmeldeversuche zulassen,
- Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
- Senden von Anmeldedaten über unsichere Kanäle,
- Schwaches Hashing von Passwörtern,
- Und mit einem unsicheren Passwort-Wiederherstellungsprozess.
Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.
Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.
Warum sind Authentifizierungsschwachstellen so gefährlich?
Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.
Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.
Beseitigung von Schwachstellen bei der Authentifizierung
Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.
Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.
Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.
Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.
Weitere Informationen über Sicherheitslücken bei der Authentifizierung
Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]
In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.
Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.
Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.
In dieser Folge lernen wir:
- Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
- Warum sie so gefährlich sind
- Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.
Wie nutzen Angreifer Authentifizierungsschwachstellen aus?
Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.
Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:
- Schwache oder unzureichende Passwortrichtlinien haben,
- Unbegrenzte Anmeldeversuche zulassen,
- Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
- Senden von Anmeldedaten über unsichere Kanäle,
- Schwaches Hashing von Passwörtern,
- Und mit einem unsicheren Passwort-Wiederherstellungsprozess.
Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.
Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.
Warum sind Authentifizierungsschwachstellen so gefährlich?
Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.
Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.
Beseitigung von Schwachstellen bei der Authentifizierung
Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.
Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.
Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.
Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.
Weitere Informationen über Sicherheitslücken bei der Authentifizierung
Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.
Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.
Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.
In dieser Folge lernen wir:
- Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
- Warum sie so gefährlich sind
- Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.
Wie nutzen Angreifer Authentifizierungsschwachstellen aus?
Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.
Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:
- Schwache oder unzureichende Passwortrichtlinien haben,
- Unbegrenzte Anmeldeversuche zulassen,
- Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
- Senden von Anmeldedaten über unsichere Kanäle,
- Schwaches Hashing von Passwörtern,
- Und mit einem unsicheren Passwort-Wiederherstellungsprozess.
Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.
Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.
Warum sind Authentifizierungsschwachstellen so gefährlich?
Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.
Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.
Beseitigung von Schwachstellen bei der Authentifizierung
Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.
Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.
Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.
Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.
Weitere Informationen über Sicherheitslücken bei der Authentifizierung
Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .
Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]
Inhaltsübersicht
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
