Blog

Coders Conquer Security: Share & Learn Series - Authentifizierung

Jaap Karan Singh
Veröffentlicht Apr 11, 2019

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.

Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Folge lernen wir:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.

Wie nutzen Angreifer Authentifizierungsschwachstellen aus?

Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.

Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:

  • Schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche zulassen,
  • Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
  • Senden von Anmeldedaten über unsichere Kanäle,
  • Schwaches Hashing von Passwörtern,
  • Und mit einem unsicheren Passwort-Wiederherstellungsprozess.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.

Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.

Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.

Beseitigung von Schwachstellen bei der Authentifizierung

Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.

Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.

Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.

Weitere Informationen über Sicherheitslücken bei der Authentifizierung

Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]

Ressource anzeigen
Ressource anzeigen

Wir werden eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.

Interessiert an mehr?

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Jaap Karan Singh
Veröffentlicht Apr 11, 2019

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Weitergeben:

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.

Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Folge lernen wir:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.

Wie nutzen Angreifer Authentifizierungsschwachstellen aus?

Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.

Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:

  • Schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche zulassen,
  • Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
  • Senden von Anmeldedaten über unsichere Kanäle,
  • Schwaches Hashing von Passwörtern,
  • Und mit einem unsicheren Passwort-Wiederherstellungsprozess.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.

Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.

Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.

Beseitigung von Schwachstellen bei der Authentifizierung

Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.

Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.

Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.

Weitere Informationen über Sicherheitslücken bei der Authentifizierung

Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]

Ressource anzeigen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.

Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Folge lernen wir:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.

Wie nutzen Angreifer Authentifizierungsschwachstellen aus?

Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.

Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:

  • Schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche zulassen,
  • Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
  • Senden von Anmeldedaten über unsichere Kanäle,
  • Schwaches Hashing von Passwörtern,
  • Und mit einem unsicheren Passwort-Wiederherstellungsprozess.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.

Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.

Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.

Beseitigung von Schwachstellen bei der Authentifizierung

Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.

Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.

Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.

Weitere Informationen über Sicherheitslücken bei der Authentifizierung

Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]

Starten

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
Ressource anzeigen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Jaap Karan Singh
Veröffentlicht Apr 11, 2019

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Weitergeben:

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.

Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Folge lernen wir:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.

Wie nutzen Angreifer Authentifizierungsschwachstellen aus?

Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.

Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:

  • Schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche zulassen,
  • Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
  • Senden von Anmeldedaten über unsichere Kanäle,
  • Schwaches Hashing von Passwörtern,
  • Und mit einem unsicheren Passwort-Wiederherstellungsprozess.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.

Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.

Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.

Beseitigung von Schwachstellen bei der Authentifizierung

Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.

Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.

Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.

Weitere Informationen über Sicherheitslücken bei der Authentifizierung

Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]

Inhaltsübersicht

PDF herunterladen
Ressource anzeigen
Interessiert an mehr?

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge