Coders Conquer Security: Share & Learn Series - Authentifizierung

Veröffentlicht Apr 11, 2019
von Jaap Karan Singh
FALLSTUDIE

Coders Conquer Security: Share & Learn Series - Authentifizierung

Veröffentlicht Apr 11, 2019
von Jaap Karan Singh
Ressource anzeigen
Ressource anzeigen

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.

Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Folge lernen wir:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.

Wie nutzen Angreifer Authentifizierungsschwachstellen aus?

Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.

Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:

  • Schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche zulassen,
  • Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
  • Senden von Anmeldedaten über unsichere Kanäle,
  • Schwaches Hashing von Passwörtern,
  • Und mit einem unsicheren Passwort-Wiederherstellungsprozess.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.

Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.

Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.

Beseitigung von Schwachstellen bei der Authentifizierung

Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.

Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.

Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.

Weitere Informationen über Sicherheitslücken bei der Authentifizierung

Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]

Ressource anzeigen
Ressource anzeigen

Autor

Jaap Karan Singh

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Coders Conquer Security: Share & Learn Series - Authentifizierung

Veröffentlicht Apr 11, 2019
Von Jaap Karan Singh

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Organisationen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen erlauben - was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich erraten, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Kennwort bei einem System anmelden kann, ist es nicht notwendig, fortschrittliche Techniken zur Bekämpfung der Netzwerkabwehr einzusetzen. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch: Wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu entdecken, da die meisten Verteidigungssysteme ihn einfach als gültigen Benutzer oder Administrator ansehen, der seine Arbeit macht.

Die Kategorie der Authentifizierungsschwachstellen ist recht umfangreich, aber wir gehen auf die häufigsten Probleme ein, die dazu neigen, versehentlich in die Anmeldeprozesse der Benutzer eingebettet zu werden. Indem Sie diese Löcher stopfen, können Sie die große Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Folge lernen wir:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken zur Beseitigung von Authentifizierungsschwachstellen eingesetzt werden können.

Wie nutzen Angreifer Authentifizierungsschwachstellen aus?

Es gibt eine ganze Reihe von Sicherheitslücken bei der Authentifizierung, die sich in ein Authentifizierungssystem einschleichen können, so dass Hacker jede davon ein wenig anders ausnutzen. Lassen Sie uns zunächst die häufigsten Schwachstellen durchgehen und dann anhand von Beispielen zeigen, wie ein paar davon ausgenutzt werden könnten.

Zu den häufigsten Schwachstellen bei der Authentifizierung gehören:

  • Schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche zulassen,
  • Weitergabe von Informationen über fehlgeschlagene Anmeldungen an einen Angreifer,
  • Senden von Anmeldedaten über unsichere Kanäle,
  • Schwaches Hashing von Passwörtern,
  • Und mit einem unsicheren Passwort-Wiederherstellungsprozess.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Schwachstelle. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, werden viel zu viele von ihnen leicht zu erratende Passwörter verwenden. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Kennwörter, und "123456" und "password" sind immer unter den ersten fünf. Es gibt aber auch andere. Administratoren verwenden sehr gerne "Gott". Diese sind zwar alle entweder witzig oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Kennwörter und versuchen sie zuerst, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Kennwörtern in Ihrer Organisation erlaubt ist, werden auch Sie irgendwann geknackt werden.

Eine weniger offensichtliche, aber dennoch gefährliche Schwachstelle ist die Rückmeldung an einen Benutzer über eine fehlgeschlagene Anmeldung. Das ist schlecht, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, können Angreifer gültige Benutzer auf einem System ausfindig machen und sich auf das Erraten von Passwörtern nur für diese Benutzernamen konzentrieren. Wenn dies mit der Authentifizierungsschwachstelle kombiniert wird, die unbegrenztes Erraten von Passwörtern erlaubt, würde es Angreifern ermöglichen, Wörterbuchangriffe gegen alle gültigen Benutzer auszuführen, die sie gefunden haben, was sie ziemlich schnell in ein System bringen könnte, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Siedler, der an seiner Haustür dreifache Schlösser anbrachte, seine Fenster mit Brettern verbarrikadierte und mit vielen Gewehren in Reichweite schlief. Am nächsten Morgen wurde er tot aufgefunden. Seine Angreifer waren an ihn herangekommen, weil er vergessen hatte, die Hintertür zu verschließen. Mit Authentifizierungsschwachstellen verhält es sich ähnlich. Es spielt wirklich keine Rolle, welche Art von Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Experten Sie beschäftigen, wenn ein Angreifer einen gültigen Benutzernamen und ein Passwort verwenden kann, um in Ihr Netzwerk einzudringen.

Wenn der Angreifer erst einmal drin ist, gibt es nur sehr wenige Einschränkungen, was er tun kann. Solange er im Rahmen seiner Benutzerrechte agiert, die ziemlich umfangreich sein können, wenn er ein Administratorkonto kompromittiert hat, ist die Chance sehr gering, dass er rechtzeitig erwischt wird, um ernsthafte Probleme zu verhindern. Das macht die Klasse der Authentifizierungsschwachstellen zu einer der gefährlichsten Schwachstellen auf jedem System.

Beseitigung von Schwachstellen bei der Authentifizierung

Eine der besten Möglichkeiten, um Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, global durchgesetzte Passwortrichtlinien. Benutzer, sogar Administratoren, sollten nicht nur keine Passwörter wie "password" verwenden, sondern auch gezwungen werden, ein Maß an Komplexität hinzuzufügen, das es für einen Angreifer unmöglich macht, einen Angriff mit einem Wörterbuch oder allgemeinen Phrasen durchzuführen. Sie können Ihre eigenen Regeln für die Erstellung von Passwörtern basierend auf der Wichtigkeit des zu schützenden Systems aufstellen. Auf diese Weise wird es für Angreifer viel schwieriger, Passwörter zu erraten oder zu erzwingen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, so dass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als, sagen wir, drei Mal eingegeben wird. Die Sperre kann temporär sein, da schon eine Verzögerung von wenigen Minuten die Fortsetzung automatischer Wörterbuchangriffe verhindert. Oder sie kann dauerhaft sein, es sei denn, das Konto wird von einem Administrator entsperrt. In jedem Fall sollte das Sicherheitspersonal alarmiert werden, wenn eine solche Sperrung auftritt, damit es die Situation überwachen kann.

Eine weitere gute Möglichkeit, Angreifer am Sammeln von Informationen zu hindern, besteht darin, eine generische Meldung zu erstellen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Sie sollte für beide Fälle gleich sein, damit Hacker nicht wissen, ob sie abgewiesen wurden, weil ein Benutzer nicht existiert oder weil sie das falsche Passwort haben.

Authentifizierungsschwachstellen gehören zu den häufigsten und gefährlichsten auf den meisten Systemen. Aber sie sind auch relativ leicht zu finden und zu beseitigen.

Weitere Informationen über Sicherheitslücken bei der Authentifizierung

Für weitere Lektüre können Sie einen Blick auf den OWASP-Authentifizierungs-Spickzettel werfen. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Plattform Secure Code Warrior testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Treten Sie vor und stellen Sie sich einer Sicherheitslücke bei der Authentifizierung in der Plattform Secure Code Warrior : [Hier starten]

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.