Weak Authentication Method
Copyright © Shutterstock/Vallepu Graphics
Was ist Weak Authentication Method?
Weak Authentication Method (schwache Authentifizierungsmethode) beschreibt jedes Szenario, in dem die Stärke des Authentifizierungsmechanismus im Vergleich zum Wert der zu schützenden Assets relativ gering ist. Außerdem werden Szenarien beschrieben, in denen der Authentifizierungsmechanismus fehlerhaft oder anfällig ist.
Beschreibung
Die Verwendung von schwachen HTTP-Authentifizierungsmethoden macht es einem Angreifer leicht, Anmeldeinformationen abzufangen, diese auf anderen Hosts abzuspielen und Benutzer dazu zu bringen, die Anmeldeinformationen an einem falschen Ort bereitzustellen. Basic und Digest zählen dabei zu den schwachen Authentifizierungsmethoden: Basic hat einen schwachen “Verschlüsselungsmechanismus” und ist die ungünstigste Authentifizierungsmethode der beiden.
Bei der Überprüfung auf Weak Authentication prüfen Scanner, ob HTTP-Basic- oder Digest-Authentifizierung für eine unsichere Verbindung verwendet wurden. Ist dies der Fall, so können die Zugangsdaten gelesen und von jemandem verwendet werden, der Zugriff auf das Netzwerk hat.
Lösung
Ein Ersatz für HTTP-Authentifizierungsmethoden sollte definiert werden, der mindestens die folgenden Eigenschaften enthält:
- Identifiziert eindeutig den Host, der Authentifizierungsinformationen anfordert
- Erlaubt keine Authentifizierung über Klartext-Kanäle, es sei denn, das Authentifizierungsprotokoll befasst sich speziell mit Abhören.
- Ermöglicht keine Wiedergabe von Authentifizierungstransaktionen oder Wiederverwendung von Autorisierungs-Token
- Bietet schwer zu fälschendes Chrome mit Vorkehrungen für benutzerspezifische Bilder, die SiteKey oder anderen Implementierungen ähneln. Bilder können durch die anfordernde Seite, das Benutzerprofil im Browser oder beides angegeben werden.
- Erlaubt standardmäßig keine domainübergreifenden Authentifizierungsanforderungen. Wenn die Domainübergreifende Authentifizierung von einem übergeordneten Standort gewünscht wird, muss eine weiße Liste der Domänen, die authentifiziert werden dürfen, durch CSP oder ähnliche Standortrichtlinien definiert werden.
Es ist sicherzustellen, dass alle Authentifizierungsmethoden deaktiviert und blockiert sind, sodass nur die Formular-basierte Authentifizierung und SSL-Client Zertifikate zulässig sind. Um böswillige Authentifizierungsanfragen zu blockieren, können Whitelist oder Proxy eingerichtet werden. Whitelists sollten für alle Inhalte von Drittanbietern angefordert oder externe Inhalte per Proxy geladen werden.
Datenbanklink zur Schwachstelle
Allgemeiner Schwachstellen-Datenbanklink
Wenn Sie noch Fragen bezüglich des Themas haben, dann können Sie sich gerne weiter über die Seite von OWASP darüber weiter informieren.
Sie haben noch Fragen?
