Hacker sind eine große Bedrohung für Unternehmen und Privatpersonen. Die Authentifizierung soll sie von sicheren Bereichen fernhalten, funktioniert aber nicht immer.
Cyberkriminelle verfügen über eine Reihe von Tricks, mit denen sie sich als legitime Benutzer ausgeben können. Dies ermöglicht ihnen den Zugriff auf private Informationen, die sie nicht haben sollten. Dieses kann dann verwendet oder verkauft werden.
Hacker können aufgrund von Sicherheitslücken bei der Authentifizierung häufig auf sichere Bereiche zugreifen. Was sind also diese Schwachstellen und wie können Sie sie verhindern?
Was sind Sicherheitslücken bei defekter Authentifizierung?
Eine defekte Authentifizierungsschwachstelle ist jede Schwachstelle, die es einem Angreifer ermöglicht, sich als legitimer Benutzer auszugeben.
Ein legitimer Benutzer meldet sich normalerweise entweder mit einem Passwort oder einer Sitzungs-ID an. Eine Sitzungs-ID ist etwas auf dem Computer des Benutzers, das angibt, dass er sich zuvor angemeldet hat. Wenn Sie im Internet surfen und nicht aufgefordert werden, sich bei einem Ihrer Konten anzumelden, liegt das daran, dass der Kontoanbieter Ihre Sitzungs-ID gefunden hat.
Die meisten defekten Authentifizierungsschwachstellen sind Probleme mit der Behandlung von Sitzungs-IDs oder Passwörtern. Um Angriffe zu verhindern, müssen Sie sich ansehen, wie ein Hacker eines dieser Elemente verwenden könnte, und dann das System ändern, um dies so schwierig wie möglich zu machen.
Wie werden Sitzungs-IDs erhalten?
Je nachdem, wie ein System konzipiert ist, können Session-IDs auf unterschiedliche Weise bezogen werden. Sobald die Sitzungs-ID akzeptiert wurde, kann der Hacker auf jeden Teil des Systems zugreifen, auf den ein legitimer Benutzer zugreifen kann.
Sitzungsübernahme
Sitzungsentführung ist der Akt des Stehlens einer Session-ID. Dies wird oft dadurch verursacht, dass der Benutzer einen Fehler macht und dafür sorgt, dass seine Sitzungs-ID jemand anderem leicht zugänglich ist.
Wenn der Benutzer ein ungesichertes Wi-Fi verwendet, werden die Daten, die zu und von seinem Computer gehen, nicht verschlüsselt. Ein Hacker kann dann möglicherweise die Sitzungs-ID abfangen, wenn sie vom System an den Benutzer gesendet wird.
Eine viel einfachere Option ist, wenn der Benutzer einen öffentlichen Computer verwendet und vergisst, sich abzumelden. In diesem Szenario verbleibt die Sitzungs-ID auf dem Computer und kann von jedem abgerufen werden.
Umschreiben der Sitzungs-ID-URL
Einige Systeme sind so konzipiert, dass Sitzungs-IDs in einer URL gespeichert werden. Nach dem Einloggen in ein solches System wird der Benutzer zu einer eindeutigen URL geleitet. Der Benutzer kann dann erneut auf das System zugreifen, indem er dieselbe Seite besucht.
Dies ist problematisch, da jeder, der Zugriff auf die spezifische URL eines Benutzers erhält, sich als dieser Benutzer ausgeben kann. Dies kann vorkommen, wenn ein Benutzer ein ungesichertes WLAN verwendet oder wenn er seine eindeutige URL mit jemand anderem teilt. URLs werden häufig online geteilt, und es ist nicht ungewöhnlich, dass Benutzer unwissentlich Sitzungs-IDs teilen.
Wie erhält man Passwörter?
Passwörter können sowohl mit als auch ohne Benutzerhilfe auf verschiedene Arten gestohlen oder erraten werden. Viele dieser Techniken können automatisiert werden, sodass Hacker versuchen können, Tausende von Passwörtern in einer einzigen Aktion zu knacken.
Kennwortsprühen
Beim Password Spraying werden schwache Passwörter in großen Mengen ausprobiert. Viele Systeme sind darauf ausgelegt, Benutzer nach mehreren falschen Versuchen zu sperren.
Durch das Sprühen von Passwörtern wird dieses Problem umgangen, indem versucht wird, schwache Passwörter für Hunderte von Konten zu verwenden, anstatt zu versuchen, ein einzelnes Konto anzugreifen. Dies ermöglicht es dem Angreifer, Passwörter in großen Mengen zu versuchen, ohne das System zu alarmieren.
Credential Stuffing
Credential Stuffing ist der Vorgang, bei dem gestohlene Passwörter verwendet werden, um zu versuchen, in großen Mengen auf private Konten zuzugreifen. Gestohlene Passwörter sind im Internet weit verbreitet. Immer wenn eine Website gehackt wird, können Benutzerdaten gestohlen und oft vom Hacker weiterverkauft werden.
Beim Credential Stuffing werden diese Benutzerdaten gekauft und dann in großen Mengen auf Websites ausprobiert. Da Passwörter oft wiederverwendet werden, kann oft ein einziges Paar aus Benutzername und Passwort verwendet werden, um sich bei mehreren Konten anzumelden.
Phishing
Eine Phishing-E-Mail ist eine E-Mail, die legitim erscheint, aber tatsächlich darauf ausgelegt ist, Passwörter und andere private Details von Personen zu stehlen. In einer Phishing-E-Mail wird der Benutzer aufgefordert, eine Webseite zu besuchen und sich bei einem eigenen Konto anzumelden. Die bereitgestellte Webseite ist jedoch bösartig und alle eingegebenen Informationen werden sofort gestohlen.
So verbessern Sie das Sitzungsmanagement
Die Fähigkeit eines Hackers, sich mithilfe von Sitzungs-IDs als Benutzer auszugeben, hängt davon ab, wie ein System konzipiert ist.
Speichern Sie Sitzungs-IDs nicht in URLs
Sitzungs-IDs sollten niemals in URLs gespeichert werden. Cookies eignen sich ideal für Sitzungs-IDs und sind für einen Angreifer viel schwieriger zugänglich.
Implementieren Sie automatische Abmeldungen
Benutzer sollten nach einer gewissen Zeit der Inaktivität von ihren Konten abgemeldet werden. Einmal implementiert, kann eine gestohlene Sitzungs-ID nicht mehr verwendet werden.
Sitzungs-IDs rotieren
Sitzungs-IDs sollten regelmäßig ersetzt werden, auch ohne dass sich der Benutzer abmelden muss. Dies fungiert als Alternative zum automatischen Abmelden und verhindert, dass ein Angreifer eine gestohlene Sitzungs-ID so lange verwenden kann wie der Benutzer.
So verbessern Sie Passwortrichtlinien
Alle privaten Bereiche sollten erfordern starke Passwörter und Benutzer sollten aufgefordert werden, eine zusätzliche Authentifizierung bereitzustellen.
Implementieren Sie Passwortregeln
Jedes System, das Passwörter akzeptiert, sollte Regeln darüber enthalten, welche Passwörter akzeptiert werden. Benutzer sollten aufgefordert werden, ein Passwort mit einer Mindestlänge und einer Mischung aus Zeichen anzugeben.
Machen Sie die Zwei-Faktor-Authentifizierung obligatorisch
Passwörter können leicht gestohlen werden, und der beste Weg, Hacker daran zu hindern, sie zu verwenden, ist die Implementierung einer Zwei-Faktor-Authentifizierung. Dazu muss ein Benutzer nicht nur sein Passwort eingeben, sondern auch eine andere Information angeben, die normalerweise nur auf seinem Gerät gespeichert ist.
Nach der Implementierung kann ein Hacker nicht mehr auf das Konto zugreifen, selbst wenn er das Passwort kennt.
Schwachstellen bei defekter Authentifizierung sind eine erhebliche Bedrohung
Sicherheitslücken bei defekter Authentifizierung sind ein erhebliches Problem auf jedem System, das private Informationen speichert. Sie ermöglichen Hackern, sich als legitime Benutzer auszugeben und auf jeden Bereich zuzugreifen, der ihnen zur Verfügung steht.
Unterbrochene Authentifizierung bezieht sich normalerweise auf Probleme mit der Verwaltung von Sitzungen oder der Verwendung von Passwörtern. Wenn Sie verstehen, wie Hacker versuchen können, auf ein System zuzugreifen, können Sie dies so schwierig wie möglich machen.
Systeme sollten so konzipiert sein, dass Sitzungs-IDs nicht leicht zugänglich sind und nicht länger als nötig funktionieren. Passwörter sollten sich auch nicht als einziges Mittel zur Benutzerauthentifizierung verlassen.
