Hackers vormen een enorme bedreiging voor zowel bedrijven als particulieren. Authenticatie zou hen uit veilige gebieden moeten houden, maar dat werkt niet altijd.
Cybercriminelen hebben een reeks trucs die kunnen worden gebruikt om zich voor te doen als legitieme gebruikers. Hierdoor kunnen ze toegang krijgen tot privé-informatie waartoe ze niet behoren. Deze kan dan gebruikt of verkocht worden.
Hackers hebben vaak toegang tot beveiligde gebieden vanwege verbroken authenticatiekwetsbaarheden. Dus wat zijn deze kwetsbaarheden en hoe kunt u ze voorkomen?
Wat zijn verbroken authenticatie-kwetsbaarheden?
Een verbroken authenticatiekwetsbaarheid is elke kwetsbaarheid waardoor een aanvaller zich kan voordoen als een legitieme gebruiker.
Een legitieme gebruiker logt meestal in met een wachtwoord of een sessie-ID. Een sessie-ID is iets op de computer van de gebruiker dat aangeeft dat deze eerder is ingelogd. Wanneer u op internet surft en niet wordt gevraagd om u aan te melden bij een van uw accounts, komt dat omdat de accountprovider uw sessie-ID heeft gevonden.
De meeste verbroken authenticatie-kwetsbaarheden zijn problemen met de manier waarop sessie-ID's of wachtwoorden worden behandeld. Om aanvallen te voorkomen, moet u kijken hoe een hacker een van deze items zou kunnen gebruiken en vervolgens het systeem aanpassen om dit zo moeilijk mogelijk te maken.
Hoe worden sessie-ID's verkregen?
Afhankelijk van hoe een systeem is ontworpen, kunnen sessie-ID's op verschillende manieren worden verkregen. Zodra de sessie-ID is geaccepteerd, heeft de hacker toegang tot elk deel van het systeem dat een legitieme gebruiker kan.
Sessie kapen
Sessie kaping is het stelen van een sessie-ID. Dit wordt vaak veroorzaakt doordat de gebruiker een fout maakt en ervoor zorgt dat zijn sessie-ID direct beschikbaar is voor iemand anders.
Als de gebruiker onbeveiligde wifi gebruikt, worden de gegevens die van en naar hun computer gaan niet versleuteld. Een hacker kan dan de sessie-ID onderscheppen terwijl deze van het systeem naar de gebruiker wordt verzonden.
Een veel gemakkelijkere optie is als de gebruiker een openbare computer gebruikt en vergeet uit te loggen. In dit scenario blijft de sessie-ID op de computer staan en is deze voor iedereen toegankelijk.
Sessie-ID URL herschrijven
Sommige systemen zijn zo ontworpen dat sessie-ID's worden opgeslagen in een URL. Na het inloggen op zo'n systeem wordt de gebruiker doorverwezen naar een unieke URL. De gebruiker heeft dan weer toegang tot het systeem door dezelfde pagina te bezoeken.
Dit is problematisch omdat iedereen die toegang krijgt tot de specifieke URL van een gebruiker, die gebruiker kan nabootsen. Dit kan gebeuren als een gebruiker onbeveiligde wifi gebruikt of als hij zijn unieke URL met iemand anders deelt. URL's worden vaak online gedeeld en het is niet ongebruikelijk dat gebruikers onbewust sessie-ID's delen.
Hoe worden wachtwoorden verkregen?
Wachtwoorden kunnen op verschillende manieren worden gestolen of geraden, zowel met als zonder hulp van de gebruiker. Veel van deze technieken kunnen worden geautomatiseerd, waardoor hackers in één keer kunnen proberen duizenden wachtwoorden te kraken.
Wachtwoord spuiten
Bij het verstuiven van wachtwoorden worden zwakke wachtwoorden massaal uitgeprobeerd. Veel systemen zijn ontworpen om gebruikers uit te sluiten na meerdere onjuiste pogingen.
Wachtwoordspray omzeilt dit probleem door te proberen zwakke wachtwoorden op honderden accounts in te voeren in plaats van te proberen een individueel account te targeten. Hierdoor kan de aanvaller wachtwoorden in bulk proberen zonder het systeem te waarschuwen.
Referentie vulling
Credential stuffing is het gebruik van gestolen wachtwoorden om massaal toegang te krijgen tot privéaccounts. Gestolen wachtwoorden zijn op grote schaal online beschikbaar. Telkens wanneer een website wordt gehackt, kunnen gebruikersgegevens worden gestolen en worden deze vaak door de hacker doorverkocht.
Credential stuffing houdt in dat deze gebruikersgegevens worden gekocht en vervolgens in grote hoeveelheden op websites worden uitgeprobeerd. Omdat wachtwoorden vaak worden hergebruikt, kan een combinatie van gebruikersnaam en wachtwoord vaak worden gebruikt om in te loggen op meerdere accounts.
Phishing
Een phishingmail is een e-mail die legitiem lijkt, maar in feite is ontworpen om de wachtwoorden en andere privégegevens van mensen te stelen. In een phishing-e-mail wordt de gebruiker gevraagd een webpagina te bezoeken en in te loggen op een account waarvan hij de eigenaar is. De aangeboden webpagina is echter kwaadaardig en alle ingevoerde informatie wordt onmiddellijk gestolen.
Sessiebeheer verbeteren
De mogelijkheid voor een hacker om zich voor te doen als een gebruiker met behulp van sessie-ID's hangt af van hoe een systeem is ontworpen.
Sla geen sessie-ID's op in URL's
Sessie-ID's mogen nooit in URL's worden opgeslagen. Cookies zijn ideaal voor sessie-ID's en zijn veel moeilijker toegankelijk voor een aanvaller.
Implementeer automatische afmeldingen
Gebruikers moeten worden uitgelogd van hun accounts na een bepaalde hoeveelheid inactiviteit. Eenmaal geïmplementeerd, kan een gestolen sessie-ID niet meer worden gebruikt.
Sessie-ID's roteren
Sessie-ID's moeten regelmatig worden vervangen, zelfs zonder dat de gebruiker zich hoeft af te melden. Dit fungeert als alternatief voor automatisch uitloggen en voorkomt een scenario waarin een aanvaller een gestolen sessie-ID net zo lang kan gebruiken als de gebruiker.
Hoe wachtwoordbeleid te verbeteren
Alle privéruimtes zouden moeten vereisen sterke wachtwoorden en gebruikers moeten worden gevraagd om aanvullende authenticatie te verstrekken.
Implementeer wachtwoordregels
Elk systeem dat wachtwoorden accepteert, moet regels bevatten over welke wachtwoorden worden geaccepteerd. Gebruikers moeten worden verplicht een wachtwoord op te geven met een minimale lengte en een combinatie van tekens.
Maak tweefactorauthenticatie verplicht
Wachtwoorden worden gemakkelijk gestolen en de beste manier om te voorkomen dat hackers ze gebruiken, is door tweefactorauthenticatie te implementeren. Dit vereist dat een gebruiker niet alleen zijn wachtwoord invoert, maar ook een ander stuk informatie verstrekt, dat meestal alleen op zijn apparaat wordt opgeslagen.
Eenmaal geïmplementeerd, heeft een hacker geen toegang tot het account, zelfs niet als hij het wachtwoord kent.
Verbroken authenticatie-kwetsbaarheden vormen een aanzienlijke bedreiging
Gebroken authenticatie-kwetsbaarheden vormen een aanzienlijk probleem op elk systeem dat privé-informatie opslaat. Ze stellen hackers in staat zich voor te doen als legitieme gebruikers en toegang te krijgen tot elk gebied dat voor hen beschikbaar is.
Verbroken authenticatie verwijst meestal naar problemen met hoe sessies worden beheerd of hoe wachtwoorden worden gebruikt. Door te begrijpen hoe hackers proberen toegang te krijgen tot een systeem, is het mogelijk om dit zo moeilijk mogelijk te maken.
Systemen moeten zo worden ontworpen dat sessie-ID's niet gemakkelijk toegankelijk zijn en niet langer werken dan nodig is. Er mag ook niet op wachtwoorden worden vertrouwd als het enige middel voor gebruikersauthenticatie.
