קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

האקרים מהווים איום עצום על עסקים ואנשים פרטיים כאחד. אימות אמור להרחיק אותם מאזורים מאובטחים, אבל זה לא תמיד עובד.

לפושעי סייבר יש מגוון של טריקים שניתן להשתמש בהם כדי להתחזות למשתמשים לגיטימיים. זה מאפשר להם לגשת למידע פרטי שהם לא אמורים. לאחר מכן ניתן להשתמש בזה או למכור אותו.

האקרים יכולים לעתים קרובות לגשת לאזורים מאובטחים בגלל פרצות אימות שבירות. אז מהן הפגיעות הללו, וכיצד ניתן למנוע אותן?

מהן פגיעויות אימות שבורות?

פגיעות אימות שבורה היא כל פגיעות המאפשרת לתוקף להתחזות למשתמש לגיטימי.

משתמש לגיטימי מתחבר בדרך כלל באמצעות סיסמה או מזהה הפעלה. מזהה הפעלה הוא משהו במחשב של המשתמש שמציין שהוא התחבר בעבר. בכל פעם שאתה גולש באינטרנט ולא מתבקש להיכנס לאחד מהחשבונות שלך, זה בגלל שספק החשבון מצא את מזהה הפגישה שלך.

רוב פגיעויות האימות השבורות הן בעיות בטיפול במזהי הפעלה או בסיסמאות. על מנת למנוע התקפות, עליך לבדוק כיצד האקר עשוי להשתמש באחד מהפריטים הללו, ולאחר מכן לשנות את המערכת כדי להקשות ככל האפשר על כך.

instagram viewer

כיצד משיגים מזהי הפעלה?

בהתאם לאופן שבו מערכת מעוצבת, ניתן להשיג מזהי הפעלה במגוון דרכים שונות. ברגע שמזהה ההפעלה יתקבל, ההאקר יכול לגשת לכל חלק של המערכת שמשתמש לגיטימי יכול.

חטיפת הפעלה

חטיפת מושב הוא מעשה של גניבת מזהה הפעלה. זה נגרם לעתים קרובות על ידי המשתמש עושה טעות וגורם לזהות ההפעלה שלו להיות זמין עבור מישהו אחר.

אם המשתמש משתמש ב-Wi-Fi לא מאובטח, הנתונים העוברים למחשב וממנו לא יוצפנו. לאחר מכן, האקר יוכל ליירט את מזהה הפגישה כשהוא נשלח מהמערכת למשתמש.

אפשרות הרבה יותר קלה היא אם המשתמש משתמש במחשב ציבורי ושכח להתנתק. בתרחיש זה, מזהה ההפעלה נשאר במחשב וניתן לגשת אליו לכל אחד.

שכתוב כתובת URL של מזהה הפעלה

מערכות מסוימות מתוכננות בצורה כזו שמזהי הפעלה מאוחסנים בכתובת URL. לאחר הכניסה למערכת כזו, המשתמש מופנה לכתובת URL ייחודית. לאחר מכן המשתמש יכול לגשת שוב למערכת על ידי ביקור באותו עמוד.

זה בעייתי מכיוון שכל מי שמקבל גישה לכתובת ה-URL הספציפית של משתמש יכול להתחזות לאותו משתמש. זה עשוי להתרחש אם משתמש משתמש ב-Wi-Fi לא מאובטח או אם הוא חולק את כתובת האתר הייחודית שלו עם מישהו אחר. לעתים קרובות כתובות URL משותפות באופן מקוון וזה לא נדיר שמשתמשים משתפים מזהי הפעלה מבלי לדעת.

איך משיגים סיסמאות?

ניתן לגנוב או לנחש סיסמאות במגוון דרכים שונות גם עם ובלי עזרה של המשתמש. רבות מהטכניקות הללו יכולות להיות אוטומטיות, מה שמאפשר להאקרים לנסות לפצח אלפי סיסמאות בפעולה אחת.

ריסוס סיסמאות

ריסוס סיסמאות כולל ניסיון של סיסמאות חלשות בכמויות גדולות. מערכות רבות נועדו לנעול משתמשים לאחר מספר ניסיונות שגויים.

ריסוס סיסמאות מעקף את הבעיה על ידי ניסיון סיסמאות חלשות במאות חשבונות במקום ניסיון למקד לחשבון בודד. זה מאפשר לתוקף לנסות סיסמאות בכמות גדולה מבלי להודיע ​​למערכת.

מלית אישורים

מילוי אישורים הוא הפעולה של שימוש בסיסמאות גנובות כדי לנסות לגשת לחשבונות פרטיים בכמות גדולה. סיסמאות גנובות זמינות באופן נרחב באינטרנט. בכל פעם שאתר אינטרנט נפרץ, ניתן לגנוב פרטי משתמש, ולעתים קרובות נמכרים מחדש על ידי ההאקר.

מילוי אישורים כרוך ברכישת פרטי משתמש אלו ולאחר מכן לנסות אותם באתרים בכמות גדולה. מכיוון שלעתים קרובות נעשה שימוש חוזר בסיסמאות, לעתים קרובות ניתן להשתמש בצמד שם משתמש וסיסמא בודד כדי להיכנס למספר חשבונות.

פישינג

הודעת דיוג הוא אימייל שנראה לגיטימי אך למעשה נועד לגנוב סיסמאות של אנשים ופרטים פרטיים אחרים. בדוא"ל דיוג, המשתמש מתבקש לבקר בדף אינטרנט ולהיכנס לחשבון שבבעלותו. עם זאת, דף האינטרנט שסופק הוא זדוני וכל מידע שהוזן נגנב מיד.

כיצד לשפר את ניהול הפעלות

היכולת של האקר להתחזות למשתמש באמצעות מזהי הפעלה תלויה באופן שבו המערכת מעוצבת.

אל תאחסן מזהי הפעלה בכתובות URL

לעולם אין לאחסן מזהי הפעלה בכתובות URL. קובצי Cookie הם אידיאליים עבור מזהי הפעלה וקשה הרבה יותר לתוקף לגשת אליהם.

הטמעת התנתקות אוטומטית

משתמשים צריכים להיות מנותקים מהחשבונות שלהם לאחר כמות מסוימת של חוסר פעילות. לאחר היישום, לא ניתן עוד להשתמש במזהה הפעלה גנוב.

סובב מזהי הפעלה

יש להחליף את מזהי הפעלות באופן קבוע גם מבלי לדרוש מהמשתמש להתנתק. זה פועל כחלופה ליציאות אוטומטיות ומונע תרחיש שבו תוקף יכול להשתמש במזהה הפעלה גנוב כל עוד המשתמש עושה זאת.

כיצד לשפר את מדיניות הסיסמאות

כל האזורים הפרטיים צריכים דורשים סיסמאות חזקות ויש לבקש מהמשתמשים לספק אימות נוסף.

הטמעת כללי סיסמה

כל מערכת שמקבלת סיסמאות צריכה לכלול כללים לגבי אילו סיסמאות מתקבלות. יש לדרוש מהמשתמשים לספק סיסמה באורך מינימלי ושילוב של תווים.

הפוך אימות דו-גורמי לחובה

סיסמאות נגנבות בקלות והדרך הטובה ביותר למנוע מהאקרים להשתמש בהן היא ליישם אימות דו-גורמי. זה דורש מהמשתמש לא רק להזין את הסיסמה שלו אלא גם לספק פיסת מידע נוספת, המאוחסנת בדרך כלל רק במכשיר שלו.

לאחר היישום, האקר לא יוכל לגשת לחשבון, גם אם הוא יודע את הסיסמה.

פגיעויות אימות שבורות הן איום משמעותי

פרצות אימות שבירות הן בעיה משמעותית בכל מערכת המאחסנת מידע פרטי. הם מאפשרים להאקרים להתחזות למשתמשים לגיטימיים ולגשת לכל אזור שזמין עבורם.

אימות שבור מתייחס בדרך כלל לבעיות בניהול הפעלות או בשימוש בסיסמאות. על ידי הבנה כיצד האקרים עשויים לנסות לגשת למערכת, ניתן להקשות ככל האפשר על כך.

מערכות צריכות להיות מתוכננות כך שמזהות הפעלה לא יהיו נגישים בקלות ולא יעבדו יותר מהנדרש. כמו כן, אין להסתמך על סיסמאות כאמצעי היחיד לאימות המשתמש.