Атаки на аутентификацию пользователя
Аутентификация (Authentication) верификация идентификации, или проверка подлинности.
Авторизация (Authorization) предоставление разрешений.
Сеанс (Session) исполнение чего-нибудь без перерыва.
Тип атаки:
- Обход CAPTCHA
- Атака на функционал
восстановления паролей - Атака на формы входа
- Атака на управление выходом
- Атаки на пароли
- Использование слабых паролей
- Небезопасный сброс пароля
- Использование универсального пароля
Информацию для восстановления пароля может быть легче предсказать, чем сам пароль; Если система восстановления паролей отправляет пароль на адрес электронной почты, при компрометации почтовой учетной записи, компрометируется учетная запись в системе; Атака на систему восстановления паролей может быть частью атаки Audit-ib.ru
Рис. Защитные меры атаки на аутентификацию и авторизацию
Защитные меры
Исходя из изученного можно сделать вывод о защитных мерах:
- использовать сложные пароли
- блокировка после неудачных попыток
- ограничения по IP
- использовать сложные формы аутентификации
- аутентификация адекватная важности содержимого
- авторизация на содержимом
- использование секретных вопросов с большим пространством возможных ответов
- привязка к дополнительному идентификатору
- использование трудно-предсказуемых Session ID
- использование зависимых от аутентификации Session ID
- установить время жизни Session ID
- проверка ввода пользователя
- пользователю не следовать присланным ссылкам
- пользователю не пользоваться приложением на публичных компьютерах
