خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

آسیب پذیری های احراز هویت شکسته چیست؟

ارشیا یوسفی ادیب ۱ اسفند, ۱۴۰۱ 5 دقیقه زمان مطالعه

هکرها می توانند از طریق شناسه جلسه، اشتراک گذاری اطلاعات و موارد دیگر به حساب های خصوصی دسترسی پیدا کنند. در اینجا چیزی است که شما باید بدانید.

هکرها یک تهدید بزرگ هم برای مشاغل و هم برای افراد هستند. احراز هویت قرار است آنها را از مناطق امن دور نگه دارد، اما همیشه کار نمی کند.

مجرمان سایبری طیفی از ترفندها را دارند که می توانند برای جعل هویت کاربران قانونی مورد استفاده قرار گیرند. این به آنها امکان می دهد به اطلاعات خصوصی که قرار نیست دسترسی داشته باشند. سپس می توان از آن استفاده کرد یا فروخت.

هکرها اغلب می توانند به مناطق امن به دلیل آسیب پذیری های احراز هویت شکسته دسترسی پیدا کنند. بنابراین، این آسیب‌پذیری‌ها چیست و چگونه می‌توانید از آنها جلوگیری کنید؟

آسیب پذیری های احراز هویت شکسته چیست؟

مردی که لپ تاپ در دست دارد و می گوید شما هک شده اید

آسیب‌پذیری احراز هویت شکسته، هر آسیب‌پذیری است که به مهاجم اجازه می‌دهد هویت یک کاربر قانونی را جعل کند.

یک کاربر قانونی معمولاً با استفاده از رمز عبور یا شناسه جلسه وارد سیستم می شود. شناسه جلسه چیزی در رایانه کاربر است که نشان می دهد قبلاً وارد سیستم شده است. هر زمان که در حال مرور اینترنت هستید و از شما خواسته نمی شود به یکی از حساب های خود وارد شوید، به این دلیل است که ارائه دهنده حساب شناسه جلسه شما را پیدا کرده است.

اکثر آسیب‌پذیری‌های احراز هویت شکسته، مشکلاتی در نحوه رسیدگی به شناسه‌های جلسه یا گذرواژه‌ها هستند. برای جلوگیری از حملات، باید ببینید که چگونه یک هکر ممکن است از یکی از این موارد استفاده کند، و سپس سیستم را تغییر دهید تا انجام این کار تا حد امکان دشوار باشد.

شناسه های جلسه چگونه به دست می آیند؟

بسته به نحوه طراحی یک سیستم، شناسه جلسه را می توان به طرق مختلف به دست آورد. هنگامی که شناسه جلسه پذیرفته شد، هکر می تواند به هر بخشی از سیستم که یک کاربر قانونی می تواند دسترسی داشته باشد.

مطلب مرتبط:   آیا دوره های دانشگاهی برای شغلی در امنیت سایبری مفید هستند؟

ربودن جلسه

Session hijacking عمل سرقت شناسه جلسه است. این اغلب به این دلیل است که کاربر اشتباه می کند و باعث می شود شناسه جلسه خود به راحتی در دسترس شخص دیگری قرار گیرد.

اگر کاربر از Wi-Fi ناامن استفاده می‌کند، داده‌هایی که به رایانه او می‌روند و از آن خارج می‌شوند رمزگذاری نمی‌شوند. سپس یک هکر می تواند شناسه جلسه را هنگام ارسال از سیستم به کاربر رهگیری کند.

یک گزینه بسیار ساده تر این است که کاربر از یک رایانه عمومی استفاده کند و فراموش کند که از سیستم خارج شود. در این سناریو، شناسه جلسه روی رایانه باقی می‌ماند و هر کسی می‌تواند به آن دسترسی داشته باشد.

بازنویسی URL ID جلسه

برخی از سیستم ها به گونه ای طراحی شده اند که شناسه های جلسه در یک URL ذخیره می شوند. پس از ورود به چنین سیستمی، کاربر به یک URL منحصر به فرد هدایت می شود. سپس کاربر می تواند با مراجعه به همان صفحه دوباره به سیستم دسترسی پیدا کند.

این مشکل ساز است زیرا هر کسی که به URL خاص یک کاربر دسترسی پیدا کند می تواند جعل هویت کاربر باشد. اگر کاربر از Wi-Fi ناامن استفاده کند یا اگر URL منحصر به فرد خود را با شخص دیگری به اشتراک بگذارد، ممکن است این اتفاق بیفتد. URL ها اغلب به صورت آنلاین به اشتراک گذاشته می شوند و برای کاربران غیرمعمول نیست که شناسه های جلسه را ناآگاهانه به اشتراک بگذارند.

رمز عبور چگونه به دست می آید؟

جزئیات ورود به سیستم ماهیگیری از مرورگر

رمزهای عبور را می توان به طرق مختلف با و بدون کمک کاربر به سرقت برد یا حدس زد. بسیاری از این تکنیک‌ها را می‌توان خودکار کرد و به هکرها این امکان را می‌دهد که هزاران رمز عبور را در یک اقدام بشکنند.

پاشش رمز عبور

پاشش رمز عبور شامل آزمایش انبوه رمزهای عبور ضعیف است. بسیاری از سیستم ها برای قفل کردن کاربران پس از چندین تلاش نادرست طراحی شده اند.

مطلب مرتبط:   آیا اتصال اینترنت شما امن است؟ از این برنامه برای پیدا کردن استفاده کنید

پاشش رمز عبور با تلاش برای رمزهای عبور ضعیف در صدها حساب به جای تلاش برای هدف قرار دادن یک حساب شخصی، این مشکل را برطرف می کند. این به مهاجم اجازه می دهد تا بدون هشدار به سیستم، رمز عبور را به صورت انبوه امتحان کند.

پر کردن اعتبار

پر کردن اعتبار عمل استفاده از رمزهای عبور دزدیده شده برای تلاش برای دسترسی انبوه به حساب های خصوصی است. گذرواژه های دزدیده شده به طور گسترده در اینترنت در دسترس هستند. هر زمان که یک وب سایت هک می شود، اطلاعات کاربر می تواند به سرقت رفته و اغلب توسط هکر مجددا فروخته می شود.

پر کردن اعتبار شامل خرید این جزئیات کاربر و سپس آزمایش آنها در وب سایت ها به صورت عمده است. از آنجایی که گذرواژه ها اغلب دوباره استفاده می شوند، اغلب می توان از یک جفت نام کاربری و رمز عبور برای ورود به چندین حساب استفاده کرد.

فیشینگ

ایمیل فیشینگ ایمیلی است که ظاهراً قانونی است اما در واقع برای سرقت رمز عبور افراد و سایر جزئیات خصوصی طراحی شده است. در یک ایمیل فیشینگ، از کاربر خواسته می شود که از یک صفحه وب بازدید کرده و وارد حساب کاربری خود شود. با این حال، صفحه وب ارائه شده مخرب است و هر گونه اطلاعات وارد شده بلافاصله به سرقت می رود.

نحوه بهبود مدیریت جلسات

تصویر قفل در امنیت باینری بازنمایی

توانایی یک هکر برای جعل هویت کاربر با استفاده از شناسه جلسه بستگی به نحوه طراحی یک سیستم دارد.

شناسه های جلسه را در URL ها ذخیره نکنید

شناسه های جلسه هرگز نباید در URL ها ذخیره شوند. کوکی‌ها برای شناسه‌های جلسه ایده‌آل هستند و دسترسی مهاجمان بسیار دشوارتر است.

پیاده سازی خروج خودکار

کاربران باید پس از مقدار مشخصی عدم فعالیت از حساب خود خارج شوند. پس از پیاده سازی، شناسه جلسه به سرقت رفته دیگر قابل استفاده نیست.

چرخش شناسه‌های جلسه

شناسه‌های جلسه باید مرتباً جایگزین شوند، حتی بدون نیاز به خروج کاربر. این به عنوان جایگزینی برای خروج خودکار عمل می کند و از سناریویی جلوگیری می کند که در آن مهاجم می تواند تا زمانی که کاربر از شناسه جلسه به سرقت رفته استفاده کند.

مطلب مرتبط:   چگونه دسترسی وب‌سایت‌ها به دوربین، میکروفون، مکان و موارد دیگر را متوقف کنیم

نحوه بهبود سیاست های رمز عبور

همه مناطق خصوصی باید به رمزهای عبور قوی نیاز داشته باشند و از کاربران خواسته شود تا احراز هویت اضافی را ارائه کنند.

پیاده سازی قوانین رمز عبور

هر سیستمی که رمز عبور را می پذیرد باید قوانینی در مورد اینکه چه رمزهای عبور پذیرفته می شود را شامل شود. کاربران باید ملزم به ارائه رمز عبور با حداقل طول و ترکیبی از کاراکترها باشند.

احراز هویت دو مرحله ای را اجباری کنید

رمزهای عبور به راحتی دزدیده می شوند و بهترین راه برای جلوگیری از استفاده هکرها، اجرای احراز هویت دو مرحله ای است. این امر مستلزم آن است که کاربر نه تنها رمز عبور خود را وارد کند، بلکه اطلاعات دیگری را نیز ارائه کند که معمولاً فقط در دستگاه او ذخیره می شود.

پس از پیاده سازی، یک هکر نمی تواند به حساب کاربری دسترسی پیدا کند، حتی اگر رمز عبور را بداند.

آسیب پذیری های احراز هویت شکسته یک تهدید مهم هستند

آسیب‌پذیری‌های احراز هویت شکسته یک مشکل مهم در هر سیستمی است که اطلاعات خصوصی را ذخیره می‌کند. آنها به هکرها اجازه می دهند تا هویت کاربران قانونی را جعل کنند و به هر منطقه ای که در دسترس آنها است دسترسی داشته باشند.

احراز هویت شکسته معمولاً به مشکلاتی در نحوه مدیریت جلسات یا نحوه استفاده از رمزهای عبور اشاره دارد. با درک چگونگی تلاش هکرها برای دسترسی به یک سیستم، ممکن است انجام این کار تا حد امکان دشوار شود.

سیستم ها باید به گونه ای طراحی شوند که شناسه های جلسه به راحتی در دسترس نباشند و بیش از حد لازم کار نکنند. همچنین نباید به رمزهای عبور به عنوان تنها ابزار احراز هویت کاربر اعتماد کرد.

Tags: