Weak Authentication Method

Weak Authentication Method

Copyright © Shutterstock/Vallepu Graphics

Was ist Weak Authentication Method?

Weak Authentication Method (schwache Authentifizierungsmethode) beschreibt jedes Szenario, in dem die StĂ€rke des Authentifizierungsmechanismus im Vergleich zum Wert der zu schĂŒtzenden Assets relativ gering ist. Außerdem werden Szenarien beschrieben, in denen der Authentifizierungsmechanismus fehlerhaft oder anfĂ€llig ist.

Beschreibung

Die Verwendung von schwachen HTTP-Authentifizierungsmethoden macht es einem Angreifer leicht, Anmeldeinformationen abzufangen, diese auf anderen Hosts abzuspielen und Benutzer dazu zu bringen, die Anmeldeinformationen an einem falschen Ort bereitzustellen. Basic und Digest zĂ€hlen dabei zu den schwachen Authentifizierungsmethoden: Basic hat einen schwachen “VerschlĂŒsselungsmechanismus” und ist die ungĂŒnstigste Authentifizierungsmethode der beiden.

Bei der ÜberprĂŒfung auf Weak Authentication prĂŒfen Scanner, ob HTTP-Basic- oder Digest-Authentifizierung fĂŒr eine unsichere Verbindung verwendet wurden. Ist dies der Fall, so können die Zugangsdaten gelesen und von jemandem verwendet werden, der Zugriff auf das Netzwerk hat.

Lösung

Ein Ersatz fĂŒr HTTP-Authentifizierungsmethoden sollte definiert werden, der mindestens die folgenden Eigenschaften enthĂ€lt:

  • Identifiziert eindeutig den Host, der Authentifizierungsinformationen anfordert
  • Erlaubt keine Authentifizierung ĂŒber Klartext-KanĂ€le, es sei denn, das Authentifizierungsprotokoll befasst sich speziell mit Abhören.
  • Ermöglicht keine Wiedergabe von Authentifizierungstransaktionen oder Wiederverwendung von Autorisierungs-Token
  • Bietet schwer zu fĂ€lschendes Chrome mit Vorkehrungen fĂŒr benutzerspezifische Bilder, die SiteKey oder anderen Implementierungen Ă€hneln. Bilder können durch die anfordernde Seite, das Benutzerprofil im Browser oder beides angegeben werden.
  • Erlaubt standardmĂ€ĂŸig keine DomainĂŒbergreifenden Authentifizierungsanforderungen. Wenn die DomainĂŒbergreifende Authentifizierung von einem ĂŒbergeordneten Standort gewĂŒnscht wird, muss eine weiße Liste der DomĂ€nen, die authentifiziert werden dĂŒrfen, durch CSP oder Ă€hnliche Standortrichtlinien definiert werden.

Es ist sicherzustellen, dass alle Authentifizierungsmethoden deaktiviert und blockiert sind, sodass nur die Formular-basierte Authentifizierung und SSL-Client Zertifikate zulĂ€ssig sind. Um böswillige Authentifizierungsanfragen zu blockieren, können Whitelist oder Proxy eingerichtet werden. Whitelists sollten fĂŒr alle Inhalte von Drittanbietern angefordert oder externe Inhalte per Proxy geladen werden.

Datenbanklink zur Schwachstelle

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bezĂŒglich des Themas haben, dann können Sie sich gerne weiter ĂŒber die Seite von OWASP darĂŒber weiter informieren.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte