Hekerji so velika grožnja tako podjetjem kot posameznikom. Preverjanje pristnosti naj bi jim preprečilo dostop do varnih območij, vendar ne deluje vedno.
Kibernetski kriminalci imajo vrsto trikov, s katerimi se lahko lažno predstavljajo kot zakoniti uporabniki. To jim omogoča dostop do zasebnih informacij, ki jih ne bi smeli imeti. To je nato mogoče uporabiti ali prodati.
Hekerji pogosto lahko dostopajo do varnih območij zaradi pokvarjenih ranljivosti pri preverjanju pristnosti. Kaj so torej te ranljivosti in kako jih lahko preprečite?
Kaj so ranljivosti pri pokvarjenem preverjanju pristnosti?
Prekinjena ranljivost pri preverjanju pristnosti je vsaka ranljivost, ki napadalcu omogoča, da se lažno predstavlja kot zakoniti uporabnik.
Legitimni uporabnik se običajno prijavi z geslom ali ID-jem seje. ID seje je nekaj v uporabnikovem računalniku, ki označuje, da se je uporabnik predhodno prijavil. Kadar koli brskate po internetu in niste pozvani, da se prijavite v enega od svojih računov, je to zato, ker je ponudnik računa našel vaš ID seje.
Večina pokvarjenih ranljivosti pri preverjanju pristnosti so težave z načinom obravnavanja ID-jev sej ali gesel. Da bi preprečili napade, morate pogledati, kako lahko heker uporabi enega od teh elementov, in nato spremeniti sistem, da bo to čim bolj oteženo.
Kako se pridobijo ID-ji sej?
ID-je sej je mogoče pridobiti na različne načine, odvisno od tega, kako je sistem zasnovan. Ko je ID seje sprejet, lahko heker dostopa do katerega koli dela sistema, ki ga ima zakoniti uporabnik.
Ugrabitev seje
Ugrabitev seje je dejanje kraje ID-ja seje. To pogosto povzroči uporabnik, ki naredi napako in povzroči, da je njegov ID seje takoj na voljo nekomu drugemu.
Če uporabnik uporablja nezaščiten Wi-Fi, podatki, ki gredo v in iz njegovega računalnika, ne bodo šifrirani. Heker bo nato morda lahko prestregel ID seje, ko je poslan iz sistema uporabniku.
Veliko lažja možnost je, če uporabnik uporablja javni računalnik in se pozabi odjaviti. V tem primeru ID seje ostane v računalniku in do njega lahko dostopa kdorkoli.
Prepis URL-ja ID-ja seje
Nekateri sistemi so zasnovani tako, da so ID-ji sej shranjeni v URL-ju. Po prijavi v tak sistem je uporabnik usmerjen na edinstven URL. Uporabnik lahko nato znova dostopa do sistema z obiskom iste strani.
To je problematično, ker se lahko vsakdo, ki pridobi dostop do določenega URL-ja uporabnika, izda za tega uporabnika. To se lahko zgodi, če uporabnik uporablja nezaščiten Wi-Fi ali če svoj edinstven URL deli z nekom drugim. URL-ji se pogosto delijo v spletu in ni neobičajno, da uporabniki nevede delijo ID-je sej.
Kako se pridobijo gesla?
Gesla je mogoče ukrasti ali uganiti na različne načine, tako s pomočjo kot brez pomoči uporabnika. Mnoge od teh tehnik je mogoče avtomatizirati, kar hekerjem omogoča, da poskusijo vdreti na tisoče gesel z enim samim dejanjem.
Razprševanje gesel
Razprševanje gesel vključuje množično preizkušanje šibkih gesel. Številni sistemi so zasnovani tako, da zaklenejo uporabnike po večkratnih nepravilnih poskusih.
Razprševanje gesel reši to težavo tako, da poskusi vnesti šibka gesla na stotine računov, namesto da poskuša ciljati na posamezni račun. To napadalcu omogoča, da poskusi vnesti gesla v velikem obsegu, ne da bi opozoril sistem.
Polnjenje poverilnic
Polnjenje poverilnic je dejanje uporabe ukradenih gesel za poskus množičnega dostopa do zasebnih računov. Ukradena gesla so široko dostopna na spletu. Kadarkoli pride do vdora v spletno stran, lahko ukradejo podatke o uporabniku in jih hekerji pogosto preprodajo.
Polnjenje poverilnic vključuje nakup teh podatkov o uporabniku in njihovo množično preizkušanje na spletnih mestih. Ker se gesla pogosto ponovno uporabijo, je mogoče za prijavo v več računov pogosto uporabiti en par uporabniškega imena in gesla.
Lažno predstavljanje
E-poštno sporočilo z lažnim predstavljanjem je e-poštno sporočilo, ki se zdi legitimno, vendar je dejansko namenjeno kraji gesel in drugih zasebnih podatkov ljudi. V lažnem e-poštnem sporočilu je uporabnik pozvan, da obišče spletno stran in se prijavi v račun, katerega lastnik je. Ponujena spletna stran pa je zlonamerna in vsi vneseni podatki so takoj ukradeni.
Kako izboljšati upravljanje sej
Zmožnost hekerja, da se lažno predstavlja kot uporabnik z ID-ji seje, je odvisna od tega, kako je sistem zasnovan.
Ne shranjujte ID-jev sej v URL-jih
ID-ji sej se nikoli ne smejo shranjevati v URL-jih. Piškotki so idealni za ID seje in do njih napadalec veliko težje dostopa.
Izvedite samodejne odjave
Uporabniki morajo biti po določenem času nedejavnosti odjavljeni iz svojih računov. Ko je enkrat implementiran, ukradenega ID-ja seje ni več mogoče uporabiti.
Zavrti ID-je sej
ID-je sej je treba redno zamenjati, tudi če se uporabnik ne mora odjaviti. To deluje kot alternativa samodejnim odjavam in preprečuje scenarij, v katerem lahko napadalec uporablja ukraden ID seje tako dolgo, kot ga uporablja uporabnik.
Kako izboljšati politike gesel
Vsa zasebna območja bi morala zahtevajo močna gesla od uporabnikov pa bi morali zahtevati dodatno avtentikacijo.
Uveljavite pravila za gesla
Vsak sistem, ki sprejema gesla, mora vključevati pravila o tem, katera gesla so sprejeta. Od uporabnikov bi se moralo zahtevati geslo minimalne dolžine in mešanice znakov.
Naj bo dvostopenjska avtentikacija obvezna
Gesla se zlahka ukradejo in najboljši način, da hekerjem preprečite, da bi jih uporabili, je implementacija dvostopenjske avtentikacije. To od uporabnika zahteva ne samo vnos gesla, ampak tudi vnos drugih podatkov, ki so običajno shranjeni samo v njegovi napravi.
Ko je implementiran, heker ne bo mogel dostopati do računa, tudi če pozna geslo.
Nedelujoče ranljivosti pri preverjanju pristnosti so velika grožnja
Pokvarjene ranljivosti pri preverjanju pristnosti so pomembna težava v katerem koli sistemu, ki shranjuje zasebne podatke. Hekerjem omogočajo lažno predstavljanje za zakonite uporabnike in dostop do katerega koli območja, ki jim je na voljo.
Prekinjena avtentikacija se običajno nanaša na težave z načinom upravljanja sej ali uporabo gesel. Če razumemo, kako lahko hekerji poskušajo dostopati do sistema, je to mogoče čim bolj otežiti.
Sistemi morajo biti zasnovani tako, da ID-ji sej niso enostavno dostopni in da ne delujejo dlje, kot je potrebno. Prav tako se ne bi smeli zanašati na gesla kot na edino sredstvo za preverjanje pristnosti uporabnika.
