Атака на аутентификацию пользователя
Главная » Программно-техническая защита » Безопасности веб-сайта » Атака на аутентификацию пользователя

Атаки на аутентификацию пользователя

Аутентификация (Authentication) верификация идентификации, или проверка подлинности.

Авторизация (Authorization) предоставление разрешений.

Сеанс (Session) исполнение чего-нибудь без перерыва.


Тип атаки:

  • Обход CAPTCHA
  • Атака на функционал
  • восстановления паролей
  • Атака на формы входа
  • Атака на управление выходом
  • Атаки на пароли
  • Использование слабых паролей
  • Небезопасный сброс пароля
  • Использование универсального пароля

Информацию для восстановления пароля может быть легче предсказать, чем сам пароль;
Если система восстановления паролей отправляет пароль на адрес электронной почты, при компрометации почтовой учетной записи, компрометируется учетная запись в системе;
Атака на систему восстановления паролей может быть частью атаки Audit-ib.ru

Защитные меры атаки на аутентификацию и авторизацию

Рис. Защитные меры атаки на аутентификацию и авторизацию



Защитные меры

Исходя из изученного можно сделать вывод о защитных мерах:

  • использовать сложные пароли
  • блокировка после неудачных попыток
  • ограничения по IP
  • использовать сложные формы аутентификации
  • аутентификация адекватная важности содержимого
  • авторизация на содержимом
  • использование секретных вопросов с большим пространством возможных ответов
  • привязка к дополнительному идентификатору
  • использование трудно-предсказуемых Session ID
  • использование зависимых от аутентификации Session ID
  • установить время жизни Session ID
  • проверка ввода пользователя
  • пользователю не следовать присланным ссылкам
  • пользователю не пользоваться приложением на публичных компьютерах

Поиск информации на сайте Пожалуйста, перейдите к форме, введите запрос и нажмите «Найти!»
К форме поиска