Gli hacker rappresentano un'enorme minaccia sia per le aziende che per gli individui. L'autenticazione dovrebbe tenerli fuori dalle aree sicure, ma non sempre funziona.
I criminali informatici dispongono di una serie di trucchi che possono essere utilizzati per impersonare utenti legittimi. Ciò consente loro di accedere a informazioni private che non dovrebbero. Questo può quindi essere utilizzato o venduto.
Gli hacker sono spesso in grado di accedere ad aree sicure a causa di vulnerabilità di autenticazione interrotte. Quindi quali sono queste vulnerabilità e come puoi prevenirle?
Quali sono le vulnerabilità dell'autenticazione interrotta?
Una vulnerabilità di autenticazione interrotta è qualsiasi vulnerabilità che consente a un utente malintenzionato di impersonare un utente legittimo.
Un utente legittimo in genere accede utilizzando una password o un ID di sessione. Un ID di sessione è qualcosa sul computer dell'utente che indica che ha effettuato l'accesso in precedenza. Ogni volta che navighi in Internet e non ti viene chiesto di accedere a uno dei tuoi account, è perché il provider dell'account ha trovato il tuo ID di sessione.
La maggior parte delle vulnerabilità di autenticazione interrotte sono problemi con il modo in cui vengono gestiti gli ID di sessione o le password. Per prevenire gli attacchi, è necessario osservare come un hacker potrebbe utilizzare uno di questi elementi, quindi modificare il sistema per renderlo il più difficile possibile.
Come si ottengono gli ID di sessione?
A seconda di come è progettato un sistema, gli ID di sessione possono essere ottenuti in diversi modi. Una volta accettato l'ID di sessione, l'hacker può accedere a qualsiasi parte del sistema a cui può accedere un utente legittimo.
Dirottamento della sessione
Dirottamento della sessione è l'atto di rubare un ID di sessione. Ciò è spesso causato dall'utente che commette un errore e fa sì che il proprio ID di sessione sia prontamente disponibile per qualcun altro.
Se l'utente utilizza una connessione Wi-Fi non protetta, i dati in entrata e in uscita dal computer non verranno crittografati. Un hacker può quindi essere in grado di intercettare l'ID di sessione mentre viene inviato dal sistema all'utente.
Un'opzione molto più semplice è se l'utente utilizza un computer pubblico e si dimentica di disconnettersi. In questo scenario, l'ID di sessione rimane sul computer ed è accessibile a chiunque.
Riscrittura dell'URL dell'ID di sessione
Alcuni sistemi sono progettati in modo tale che gli ID di sessione siano memorizzati in un URL. Dopo aver effettuato l'accesso a tale sistema, l'utente viene indirizzato a un URL univoco. L'utente può quindi accedere nuovamente al sistema visitando la stessa pagina.
Questo è problematico perché chiunque acceda all'URL specifico di un utente può impersonare quell'utente. Ciò può verificarsi se un utente utilizza una connessione Wi-Fi non protetta o se condivide il proprio URL univoco con qualcun altro. Gli URL sono spesso condivisi online e non è raro che gli utenti condividano inconsapevolmente gli ID di sessione.
Come si ottengono le password?
Le password possono essere rubate o indovinate in una serie di modi diversi sia con che senza l'aiuto dell'utente. Molte di queste tecniche possono essere automatizzate, consentendo agli hacker di tentare di decifrare migliaia di password in un'unica azione.
Spruzzo di password
La spruzzatura di password comporta la sperimentazione di password deboli in blocco. Molti sistemi sono progettati per bloccare gli utenti dopo molteplici tentativi errati.
La spruzzatura delle password aggira questo problema tentando di utilizzare password deboli su centinaia di account anziché cercare di prendere di mira un singolo account. Ciò consente all'attaccante di tentare le password in blocco senza avvisare il sistema.
Ripieno di credenziali
Il riempimento delle credenziali è l'atto di utilizzare password rubate per tentare di accedere in blocco agli account privati. Le password rubate sono ampiamente disponibili online. Ogni volta che un sito Web viene violato, i dettagli dell'utente possono essere rubati e spesso rivenduti dall'hacker.
Il riempimento delle credenziali comporta l'acquisto di questi dettagli utente e quindi il loro test sui siti Web in blocco. Poiché le password vengono spesso riutilizzate, è spesso possibile utilizzare una singola coppia di nome utente e password per accedere a più account.
Phishing
Un'e-mail di phishing è un'e-mail che sembra legittima ma in realtà è progettata per rubare le password delle persone e altri dettagli privati. In un'e-mail di phishing, all'utente viene chiesto di visitare una pagina Web e accedere a un account di sua proprietà. La pagina Web fornita, tuttavia, è dannosa e qualsiasi informazione inserita viene immediatamente rubata.
Come migliorare la gestione delle sessioni
La capacità di un hacker di impersonare un utente utilizzando gli ID di sessione dipende da come è progettato un sistema.
Non archiviare gli ID di sessione negli URL
Gli ID di sessione non devono mai essere archiviati negli URL. I cookie sono ideali per gli ID di sessione e sono molto più difficili da accedere per un utente malintenzionato.
Implementare le disconnessioni automatiche
Gli utenti devono essere disconnessi dai propri account dopo un certo periodo di inattività. Una volta implementato, un ID di sessione rubato non può più essere utilizzato.
Ruota ID sessione
Gli ID di sessione dovrebbero essere sostituiti regolarmente anche senza richiedere all'utente di disconnettersi. Ciò funge da alternativa alle disconnessioni automatiche e previene uno scenario in cui un utente malintenzionato può utilizzare un ID di sessione rubato per tutto il tempo in cui lo fa l'utente.
Come migliorare i criteri per le password
Tutte le aree private dovrebbero richiedono password complesse e agli utenti dovrebbe essere chiesto di fornire un'ulteriore autenticazione.
Implementa regole password
Qualsiasi sistema che accetti le password dovrebbe includere regole relative a quali password sono accettate. Agli utenti dovrebbe essere richiesto di fornire una password di lunghezza minima e un mix di caratteri.
Rendi obbligatoria l'autenticazione a due fattori
Le password vengono rubate facilmente e il modo migliore per impedire agli hacker di utilizzarle è implementare l'autenticazione a due fattori. Ciò richiede a un utente non solo di inserire la propria password, ma anche di fornire un'altra informazione, solitamente memorizzata solo sul proprio dispositivo.
Una volta implementato, un hacker non sarà in grado di accedere all'account, anche se conosce la password.
Le vulnerabilità dell'autenticazione non funzionante rappresentano una minaccia significativa
Le vulnerabilità di autenticazione interrotte sono un problema significativo su qualsiasi sistema che memorizza informazioni private. Consentono agli hacker di impersonare utenti legittimi e accedere a qualsiasi area a loro disposizione.
L'autenticazione interrotta in genere si riferisce a problemi relativi alla gestione delle sessioni o all'utilizzo delle password. Comprendendo come gli hacker possono tentare di accedere a un sistema, è possibile renderlo il più difficile possibile.
I sistemi dovrebbero essere progettati in modo tale che gli ID di sessione non siano facilmente accessibili e non funzionino più a lungo del necessario. Inoltre, non si dovrebbe fare affidamento sulle password come unico mezzo di autenticazione dell'utente.