احراز هویت شکسته چیست؟

احراز هویت شکسته

احراز هویت شکسته یا Broken Authentication اصطلاحی برای مجموعه ای از آسیب پذیری هاست که مهاجمان از آن برای جعل هویت کاربران قانونی به صورت آنلاین استفاده می کنند. به طور کلی احراز هویت شکسته به نقاط ضعف موجود در دو زمینه اشاره دارد: مدیریت نشست و مدیریت اعتبارنامه. هر دو موضوع به عنوان احراز هویت شکسته طبقه بندی می شوند زیرا مهاجمان می توانند از یکی از این راه ها یعنی شناسه های نشست ربوده شده یا اطلاعات ورود به سیستم سرقت شده، برای پوشاندن خود به عنوان کاربر مجاز استفاده کنند .

در سال های اخیر ، حملات احراز هویت شکسته ، بدترین موارد نقض داده ها را به خود اختصاص داده است و کارشناسان امنیتی مدام زنگ خطر این تهدید شناخته نشده را به صدا در می آورند. پروژه امنیت برنامه کاربردی وب باز (OWASP) آن را در لیست “Top 10” از بزرگترین خطرات امنیتی برنامه وب از سال 2017 قرار داده است. همچنین تا سال 2020 ، احراز هویت شکسته به رتبه دوم این لیست رسیده است.

در این مطلب ما توضیح خواهیم داد که چه نقاط ضعفی با احراز هویت شکسته مرتبط است و چگونه کسب وکارها می توانند در مقابل آن ها از خود محافظت کنند.

اشکالات مدیریت نشست در را به روی حمله باز می کند!

مدیریت نشست بخشی از احراز هویت شکسته است ، اما این دو اصطلاح اغلب در کنار هم ذکر می شوند ، بنابراین مردم تصور نمی کنند که “احراز هویت” فقط به نام های کاربری و رمزهای عبور اشاره دارد. از آنجا که برنامه های وب از نشست ها و اعتبارنامه ها برای شناسایی تک تک کاربران استفاده می کنند ، مهاجمان می توانند با استفاده از هر دو مکانیزم آنها را جعل کنند.

مبانی مدیریت نشست

یک نشست وب، توالی تراکنش های شبکه مرتبط با یک کاربر در یک دوره زمانی است. بیایید فرض کنیم که شما به وب سایت یکی از شبکه های اجتماعی می‌روید و مدتی قبل از ورود به حسابتان کمی صفحه را مرور می‌کنید. حال شما یک پست جالب پیدا کردید که می خواهید در مورد آن نظر دهید ، برای این کار نیاز دارید که وارد شوید. پس از گذاشتن چند نظر ، از سیستم خارج می شوید و پنجره یا برگه مرورگر وب را می بندید. هر کاری که از لحظه ورود به وب سایت انجام دادید یک نشست بود. برنامه های وب می توانند نشست های قبل و بعد از احراز هویت را ردیابی کنند.
برنامه های وب برای هر کاربر یک شناسه نشست منحصر به فرد برای هر بازدید صادر می کنند که به برنامه وب این اجازه را می دهد تا هنگام حرکت کاربر در سایت با کاربر ارتباط برقرار کند. این شناسه های نشست معمولاً به شکل کوکی ها و پارامترهای URL در می آیند.
مدیریت نشست به نحوه تعریف پارامترهای آن نشست مربوط می شود. به عنوان مثال ، قبل از اینکه شما به طور خودکار کاربر را از سیستم خارج کنید ، چه مدت یک نشست می تواند طول بکشد؟ چگونه شناسه های نشست را صادر و لغو می کنید؟ آن ها چقدر ایمن به آدرس IP کاربر پیوند داده شده اند؟

نشست های آتین می‌توانند به شما کمک کنند تجربه کاربر را بهبود بخشیده و هزینه‌های تنظیم گذرواژه را کاهش دهید و یاد بگیرید که چگونه تجربه کاربر و امنیت را تقویت کنید تا مشتریان خود را حفظ کنید.

توجه به این نکته مهم است که یک کاربر پس از ورود به سیستم یک نشست تأیید شده با برنامه وب ایجاد می کند. در نتیجه ، OWASP اظهار می دارد که شناسه یک نشست تأیید شده به طور موقت معادل قوی ترین روش احراز هویت مورد استفاده توسط برنامه مانند نام کاربری و رمز عبور است. شناسه نشست ربوده شده به اندازه اعتبار ورود به سیستم سرقت شده قوی است.

حملات مربوط به مدیریت نشست

سرقت نشست

بدون محافظت های مناسب ، برنامه های وب در برابر سرقت های نشست آسیب پذیر هستند. در این حمله مهاجمان از شناسه های نشست سرقت شده برای جعل هویت کاربران استفاده می کنند. ساده ترین مثال سرقت نشست، کاربری است که فراموش می کند از برنامه خارج شود و سپس از دستگاه خود دور می شود. سپس یک هکر می‌تواند به نشست ادامه دهد.

بازنویسی URL شناسه نشست

یکی دیگر از راه های متداول برای سرقت نشست ، “بازنویسی URL” است. در این سناریو، شناسه نشست یک فرد در نشانی اینترنتی یک وب سایت ظاهر می‌شود. هر کسی که بتواند آن را ببیند (مانند اتصال Wi–Fi نا امن) می‌تواند در نشست شرکت کند.

تثبیت نشست

یکی از بهترین اقدامات معمول که نادیده گرفته می شود ، چرخاندن شناسه های نشست پس از ورود کاربر به جای دادن شناسه مشابه به کاربر قبل و بعد از احراز هویت است. برنامه های تحت وب که قادر به انجام این کار نیستند در برابر حمله تثبیت نشست آسیب پذیر هستند ، که این نوعی از سرقت نشست است.
به گفته تروی هانت ، ایده اصلی پشت حمله تثبیت نشست این است که مهاجم شناسه نشست را که قربانی استفاده خواهد کرد از قبل تعیین می کند. سپس مهاجم می تواند پیوندی را که حاوی شناسه نشست از پیش تعیین شده است به قربانی ارسال کند. این پیوند به منبعی اشاره خواهد کرد که قربانی را مجبور به ورود به سیستم می کند.
اگر برنامه وب وضعیت احراز هویت قربانی را در نشست ادامه دهد ، مهاجم می تواند از آن شناسه نشست از پیش تعیین شده استفاده کند تا پس از ورود به سیستم قربانی ، هویت وی را جعل کند. اگر مهاجم یا قربانی آن شناسه نشست را به سرور ارائه دهند ، سرور تشخیص می دهد که شناسه نشست با یک نشست معتبر مطابقت دارد و اجازه دسترسی به منابع محافظت شده را می دهد.
توسعه دهندگان می توانند با ایجاد یک شناسه نشست جدید برای کاربر مجاز ، از حمله مهاجم به قربانی جلوگیری کنند. وقتی برنامه وب شناسه نشست را چرخاند ، شناسه نشست از پیش تعیین شده بی فایده می شود.

مهاجمان از اعتبارنامه های ضعیف و به خطر افتاده بهره می برند.

در سال های اخیر ، مهاجمان کشف کرده اند که ساده ترین راه برای دسترسی به سیستم ها، ورود به سیستم با اعتبارنامه شخص دیگری است. بر اساس گزارش نقض داده های Verizon در سال 2020 ، فیشینگ و استفاده از اعتبارنامه های سرقت شده اکنون دو مکانیسم رایج برای اجرای نقض داده ها هستند. آنها گزارش می دهند که “هک کردن و حتی به طور کلی تخلفات … ناشی از سرقت اعتبارنامه است.”

افراد متخاصم از روش های مختلفی برای سرقت ، حدس زدن و یا فریب کاربران برای فاش کردن رمزهای عبور خود استفاده می کنند.

دستکاری اعتبار (Credential Stuffing)

هنگامی که مهاجمان به یک پایگاه ‌داده پر از ایمیل‌ها و گذرواژه های رمزنگاری شده دسترسی پیدا می‌کنند، اغلب این لیست را در اختیار مهاجمان دیگر قرار می دهند و یا می‌فروشند. این مهاجمان سپس از بات نت برای حملات بی رحمانه استفاده می کنند که اعتبار دزدیده شده از یک سایت را در حساب های مختلف آزمایش می کنند. این تاکتیک اغلب به این دلیل کار می کند که افراد عموما از رمز عبور مشابه در برنامه ها استفاده می کنند.
در حال حاضر میلیاردها اعتبار به خطر افتاده در دسترس مهاجمان قرار دارد. در بیشتر مواقع کاربران حتی نمی دانند که رمزهای عبوری که سال ها و در برنامه های مختلف از آن ها استفاده می کنند برای دسترسی غیر مجاز به حساب هایشان استفاده می شود.

اسپری رمزعبور (Password Spraying)

اسپری رمز عبور کمی شبیه دستکاری اعتبار است، اما به جای کار کردن در یک پایگاه داده از کلمات عبور سرقت شده ، از مجموعه رمزهای عبور ضعیف یا رایج برای ورود به حساب کاربر استفاده می کند. یک نظرسنجی در سال 2019 توسط مرکز امنیت سایبری ملی انگلستان (NCSC) نشان داد که 23.2 میلیون حساب از “123456” به عنوان رمز عبور خود استفاده می کنند ، در حالی که میلیون ها نفر دیگر از نام های ورزشی ، کلمات توهین آمیز و رمز عبورهای رایج استفاده می کنند.
اسپری رمز عبور نوعی حمله بروت فورس است ، اما اغلب به دلیل چندین بار ورود رمز عبور اشتباه آدرس های IP پس از تلاش های ناموفق برای ورود به سیستم مسدود می شود. این روش به جای ورود رمز عبورهای مختلف به ازای هر کاربر، یک رمز عبور ثابت را به ازای نام کاربری های متعدد بررسی می کند.

حملات فیشینگ

مهاجمان معمولاً با ارسال ایمیلی به کاربران وانمود می کنند که از منبع معتبری هستند و سپس کاربران را برای به اشتراک گذاشتن اعتبارنامه یا سایر اطلاعات مرتبط فریب می دهند. این حمله می تواند به صورت گسترده تمامی کاربران سازمان را به عنوان مثال با استفاده از آدرس ایمیل آن ها مورد هدف قرارداده و یا به صورت هدف دار اجرا شده و هدف خاصی را دنبال کند.
Spear phishing یا فیشینگ هدف دار می تواند برای مهاجمان مفید باشد. آنها می توانند از این روش حمله برای دستکاری احساسات کسی براساس اطلاعات شخصی وی استفاده کنند. به عنوان مثال ، اگر نام ایمیل خواهر شما را ذکر کند ، ایمیل با عنوان “تصاویر خواهرتان” بسیار موثرتر است.
گزارش خدمات CrowdStrike 2020 نشان داد که 35٪ از نقض موفقیت آمیز شبکه با حمله فیشینگ هدف دار در سال 2019 آغاز شده است. مهاجمان مکانیسم متفاوتی برای جلب قربانیان خود از طریق فیشینگ هدف دار داشته اند: 19٪ از پیوست ها استفاده می کردند ، 15٪ از آن ها پیوند مخربی داشتند و 1٪ از آن ها از طریق یک سرویس از فیشینگ هدف دار استفاده می کردند.
در حال حاضر ، اکثر سازمان ها با حملات فیشینگ آشنا هستند و به مشتریان خود هشدار می دهند که ایمیل های مشکوک را باز نکنند. با وجود این ، گزارش انعطاف پذیری و دفاع فیشینگ در سال 2017 توسط Cofense نشان داد که “حساسیت سازمانی” به فیشینگ هنوز حدود 5٪ است. اگر 20 کارمند دارید ، ممکن است یکی از آنها همچنان روی ایمیل فیشینگ کلیک کند.
احراز هویت شکسته

چگونه احرازهویت شکسته را در سازمان برطرف کنیم؟

حملات مربوط به احراز هویت شکسته بسیار رایج و ویرانگر اما در عین حال قابل پیش گیری هستند. با انجام برخی اعمال ساده می‌توانید سازمان خود را در برابر حمله کنندگان تا حد قابل توجهی ایمن کنید.

به روز رسانی مدیریت نشست

کنترل طول نشست

هر برنامه تحت وبی به صورت خودکار نشست را در یک نقطه بعد از خروج ازسیستم، یک دوره فعالیت و یا مدت زمان معین خاتمه می دهد. طول نشست خود را متناسب با نوع کاربر و برنامه هایی که استفاده می کنند تنظیم کنید. یک سرویس پخش ویدیو مانند یوتیوب نیاز به نشست هایی با طول عمر چند هفته دارد تا کاربران به راحتی و بدون نیاز به ورود مکرر به سیستم بتوانند از آن استفاده کنند. از طرف دیگر یک سامانه بانکی باید به صورت خودکار کاربران را بعد از چند دقیقه از سیستم بیرون کند چرا که خطر سرقت نشست در این مورد بسیار بالاتر است.

چرخش و ابطال شناسه های نشست

همانطور که گفتیم ، بهترین راه برای جلوگیری از تثبیت نشست ، صدور شناسه نشست جدید برای کاربر پس از ورود به سیستم است. به همین ترتیب ، نشست ها و علائم احراز هویت باید بلافاصله پس از پایان نشست باطل شوند تا مهاجمان نتوانند از آنها استفاده مجدد کنند.

شناسه های نشست را در URL قرار ندهید

روش های بسیاری وجود دارد که بازنویسی URL می تواند منجر به افشای شناسه های نشست شود . بنابراین مطمئن ترین شرط این است که آن مسیر را طی نکنید. از کوکی های تولید شده توسط یک مدیر نشست ایمن استفاده کنید.

سخت گیری در اعمال سیاست های رمز عبور

اجرای احراز هویت چند عاملی

نکته اول OWASP برای رفع احراز هویت شکسته “اجرای احراز هویت چند عاملی برای جلوگیری از حملات استفاده مجدد خودکار ، سرقت اعتبارنامه و بروت فورس” است.

با توجه به اینکه استفاده از نام کاربری و رمزهای عبور به تنهایی آسیب پذیر هستند ، واضح است که برای امنیت حساب کافی نیستند. احراز هویت چند عاملی با درخواست اعتبارنامه اضافی که جعل آن برای مهاجمان دشوارتر است ، مانند اسکن بیومتریک یا کد یکبار مصرف ، سطح امنیتی بیشتری را ایجاد می کند.

مجاز نبودن استفاده از گذر واژه ضعیف

هنگام طراحی صفحه ورود به سیستم برنامه شما ، OWASP توصیه می کند که از دستورالعمل های NIST در مورد طول و پیچیدگی رمز عبور پیروی کرده و به طور خودکار گذرواژه‌های رایج در وب را نیز رد کنید.

از یک راهکار مدیریت هویت و دسترسی (IAM) استفاده کنید که به شما کمک می کند تا یک استراتژی رمز عبور را به راحتی ایجاد و پیاده سازی کنید. این راهکار همچنین باید صفحات ورود به سیستم و ثبت نام را با فرم هایی که سیاست های رمز عبور شما را اعمال می کنند ، در اختیار شما قرار دهد. سامانه آتین به شما امکان تأمین زیرساخت ورود به سیستم را می دهد تا اعتبار کاربران را در برنامه های خود تأیید کنید.

گذرواژه ها را به صورت متن خام ذخیره نکنید

یک استراتژی قوی برای ذخیره رمز عبور جهت کاهش نقض داده ها که اعتبار هر سازمانی را به خطر می اندازد بسیار مهم است. در هم سازی (Hashing) پایه و اساس ذخیره امن رمز عبور است. مفهوم در هم سازی ساده است، در ازای ورودی دلخواه ، یک رشته تصادفی با طول مشخص ارائه می دهد.
آنچه اهمیت دارد این است که عملیات در هم سازی برگشت ناپذیر است. یک مهاجم نمی تواند با مشاهده رمز عبور در هم سازی شده ، رمزعبور اصلی را تعیین کند. با این حال ، اگر دو کاربر رمز ورود یکسانی را انتخاب کنند ، مقدار در هم سازی شده یکسان خواهد بود. برای اطمینان از منحصر به فرد بودن خروجی فرآیند در هم سازی ، می توانید داده های تصادفی را به رمزعبور اضافه کنید. این داده های تصادفی به عنوان “salt” شناخته می شود.

با توجه به ویژگی های الگوریتم های در هم سازی ذکر شده در بالا ، نیازی نیست رمز عبور در هم سازی شده را در پایگاه داده ذخیره کنید. هنگامی که کاربر می خواهد وارد سیستم شود ، برنامه وب شما از رمز عبور ارائه شده به عنوان ورودی به یک تابع در هم ساز استفاده می کند و خروجی را با مقدار پایگاه داده مقایسه می کند. اگر مقدار در هم سازی شده رمز عبور مطابقت داشته باشد ، ورود موفقیت آمیز است.

در هم سازی به همراه salt می تواند از شما در برابر وکتورهای مختلف حمله مانند حملات Rainbow Table محافظت کند ، در حالی که حملات بروت فورس و دیکشنری را نیز کاهش می دهد.

از یک راهکار مدیریت هویت و دسترسی (IAM) استفاده کنید که به شما کمک می‌کند تا از افتادن داده‌های حیاتی به دست افراد اشتباه جلوگیری کنید.

آتین هیچگاه رمزهای عبور را به صورت خام در پایگاه داده خود ذخیره نمی کند. تمامی رمزها به صورت در هم سازی شده به همراه salt و با استفاده از الگوریتم bcrypt ذخیره می شوند. به علاوه، آتین داده ها را هم درون پایگاه داده ها و هم در لایه انتقال رمز می کند.

گذرواژه ها را به صورت متن خام ذخیره نکنید

از یک پلتفرم مدیریت هویت و دسترسی (IAM) با قابلیت محفاظت در برابر رمزهای عبور افشا شده استفاده کنید. وقتی پلتفرم متوجه افشا شدن یک اعتبارنامه شود ، در صورت به خطر افتادن هر یک از کاربران به شما اطلاع می دهد. این کاربران قفل می شوند تا زمانی که گذرواژه های خود را تغییر دهند ، بنابراین مهاجمان نمی توانند از رمزهای عبور افشا شده برای حمله به حساب های شما استفاده کنند.

محافظت در برابر حملات

مقابله با فیشینگ را در محل کار آموزش دهید

آموزش نحوه تشخیص ایمیل های مخرب به نیروی کار شما پروژه ای است که باید جدی بگیرید و مرتباً آن را به روز کنید. هرچه حملات فیشینگ پیچیده تر می شوند ، تشخیص آنها دشوارتر می شود و تنها راه مقابله با این تهدید ، اطلاع رسانی به کارکنان است.

راهکارهای حفاظت در برابر حملات بروت فورس را اجرا کنید

حملاتی که شامل احراز هویت شکسته هستند ، نه تنها می توانند داده های شما را به خطر بیندازند بلکه سایت شما را نیز خراب می کنند. در حین حمله credential stuffing یا دستکاری اعتبار، ترافیک می تواند 180 برابر افزایش یابد ، بنابراین محافظت از حمله بروت فورس برای آنلاین ماندن کاملاً ضروری است. این کار با محدود کردن تعداد دفعاتی که یک آدرس IP خاص می تواند وارد سیستم شود انجام می شود، بنابراین ربات ها نمی توانند سیستم شما را تحت فشار قرار دهند.

از تشخیص ناهنجاری استفاده کنید.

یک سیستم پیچیده IAM صرفا به شناسه های نشست برای تعیین مجاز بودن یا مخرب بودن کاربر نگاه نمی کند. بلکه انواع دیگر رفتارهای مشکوک را پرچم گذاری می کند. اگر به عنوان مثال ، کارمندی ساعت 10 شب از سیستم خارج شود ، تشخیص ناهنجاری به شما یک رفتار مشکوک را هشدار می دهد.

بدون دیدگاه

پیام بگذارید

© تمامی حقوق برای شرکت دانش بنیان آتین آتیه اندیش محفوظ است.