Broken Authentication

Was ist Broken Authentication?

Broken Authentication ist eine regelmäßig in der OWASP Top 10 aufgeführte Sicherheitsschwachstelle in Webanwendungen. Die OWASP Top 10 ist eine vom Open Web Application Security Project zusammengestellte Liste der zehn häufigsten Sicherheitslücken bei Webanwendungen.

Beschreibung

Broken Authentication umfasst alle Arten von Schwachstellen, die durch Fehler bei der Implementierung der Authentifizierungs- und der Sitzungsverwaltung verursacht werden.

Häufig schreiben Entwickler ihre eigene Implementierung von Authentifizierung und Sitzungsverwaltung, die eher Schwachstellen aufweisen als erprobte sichere Lösungen.

Häufige Broken Authentication-Probleme betreffen Benutzernamen und Kennwörter. Zum Beispiel schlechtes Passwort-Management, das zu einfache Passwörter zulässt oder Anmeldeinformationen des Benutzers ungeschützt speichert. Oder Zulassen von “Brute Force”-Methoden bei der Authentifizierung (unbegrenzte Versuche für Kennworteingabe).

Ein Beispiel für die Sicherheitsanfälligkeit einer Sitzung ist ein nicht abgelaufenes Sitzungstokens. Wenn ein in einer Anwendung angemeldeter Benutzer dann den Browser schließt, läuft seine Sitzung nicht ab. Dies würde es einem Unbefugten ermöglichen, denselben Browser für den Zugriff auf sein Konto der Webanwendung zu verwenden, da der ursprüngliche Benutzer immer noch authentifiziert ist. Unverschlüsselte oder schwach verschlüsselte Verbindungen sind ebenfalls ein großes Sicherheitsrisiko.

Auswirkungen

Ziel eines Angriffs durch Broken Authentication ist es, Konten zu übernehmen und dem Angreifer die gleichen Berechtigungen zu gewähren wie dem angegriffenen Nutzer. Wenn der Angreifer erfolgreich ein Administratorkonto entführt, kann der Angreifer daher genauso viel tun wie ein Administrator, was je nach Anwendung große Auswirkungen haben kann.

Vermeidung

Die Authentifizierungs- und Sitzungsverwaltung ist zentral zu implementieren. Dadurch werden Inkonsistenzen vermieden, die leicht entstehen können, wenn diese Verfahren auf mehrere Orte verteilt sind. Es sollten erprobte APIs verwendet werden.

  • Schutz gegen Brute Force-Angriffe: vorübergehende Blockierung einer IP, die in kurzer Zeit eine große Anzahl von Authentifizierungsfehlern verursacht hat
  • Kennwortrichtlinie, die keine schwachen Kennwörter zulässt
  • Ein sicherer Passwortwiederherstellungsprozess durch Verwendung nicht-öffentlicher Informationen, um die Benutzeridentität zu bestätigen (persönliche Informationen, die der Nutzer für den Fall zur Abfrage vorgegeben hat)
  • Verwendung einer mehrstufigen (Multi-Faktor-) Authentifizierung
  • Keine Offenlegung von Sitzungs-IDs in der URL
  • Korrekte Sitzungsverwaltung: Sitzungs-IDs und Authentifizierungstoken beim Abmelden oder nach einer Inaktivitätsphase ungültig machen

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte