Broken Authentication

Broken Authentication

Copyright ┬ę Shutterstock /NicoElNino

Was ist Broken Authentication?

Broken Authentication ist eine regelm├Ą├čig in der OWASP Top 10 aufgef├╝hrte Sicherheitsschwachstelle in Webanwendungen. Die OWASP Top 10 ist eine vom Open Web Application Security Project zusammengestellte Liste der zehn h├Ąufigsten Sicherheitsl├╝cken bei Webanwendungen.

Beschreibung

Broken Authentication umfasst alle Arten von Schwachstellen, die durch Fehler bei der Implementierung der Authentifizierungs- und der Sitzungsverwaltung verursacht werden.

H├Ąufig schreiben Entwickler ihre eigene Implementierung von Authentifizierung und Sitzungsverwaltung, die eher Schwachstellen aufweisen als erprobte sichere L├Âsungen.

H├Ąufige Broken Authentication-Probleme betreffen Benutzernamen und Kennw├Ârter. Zum Beispiel schlechtes Passwort-Management, das zu einfache Passw├Ârter zul├Ąsst oder Anmeldeinformationen des Benutzers ungesch├╝tzt speichert. Oder Zulassen von “Brute Force”-Methoden bei der Authentifizierung (unbegrenzte Versuche f├╝r Kennworteingabe).

Beispiel

Ein Beispiel f├╝r die Sicherheitsanf├Ąlligkeit einer Sitzung ist ein nicht abgelaufenes Sitzungstokens. Wenn ein in einer Anwendung angemeldeter Benutzer dann den Browser schlie├čt, l├Ąuft seine Sitzung nicht ab. Dies w├╝rde es einem Unbefugten erm├Âglichen, denselben Browser f├╝r den Zugriff auf sein Konto der Webanwendung zu verwenden, da der urspr├╝ngliche Benutzer immer noch authentifiziert ist. Unverschl├╝sselte oder schwach verschl├╝sselte Verbindungen sind ebenfalls ein gro├čes Sicherheitsrisiko.

Auswirkungen

Ziel eines Angriffs durch Broken Authentication ist es, Konten zu ├╝bernehmen und dem Angreifer die gleichen Berechtigungen zu gew├Ąhren wie dem angegriffenen Nutzer. Wenn der Angreifer erfolgreich ein Administratorkonto entf├╝hrt, kann der Angreifer daher genauso viel tun wie ein Administrator, was je nach Anwendung gro├če Auswirkungen haben kann.

Vermeidung

Die Authentifizierungs- und Sitzungsverwaltung ist zentral zu implementieren. Dadurch werden Inkonsistenzen vermieden, die leicht entstehen k├Ânnen, wenn diese Verfahren auf mehrere Orte verteilt sind. Es sollten erprobte APIs verwendet werden.

  • Schutz gegen Brute Force-Angriffe: vor├╝bergehende Blockierung einer IP, die in kurzer Zeit eine gro├če Anzahl von Authentifizierungsfehlern verursacht hat
  • Kennwortrichtlinie, die keine schwachen Kennw├Ârter zul├Ąsst
  • Ein sicherer Passwortwiederherstellungsprozess durch Verwendung nicht-├Âffentlicher Informationen, um die Benutzeridentit├Ąt zu best├Ątigen (pers├Ânliche Informationen, die der Nutzer f├╝r den Fall zur Abfrage vorgegeben hat)
  • Verwendung einer mehrstufigen (Multi-Faktor-) Authentifizierung
  • Keine Offenlegung von Sitzungs-IDs in der URL
  • Korrekte Sitzungsverwaltung: Sitzungs-IDs und Authentifizierungstoken beim Abmelden oder nach einer Inaktivit├Ątsphase ung├╝ltig machen

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte