Bir MFA bypass nasıl hesap devralmasına yol açtı [Plus 11 Authentication Tips]

   Ocak 26, 2025  Posted in Mix


Birçok yön, bir hedef

Siber güvenlikte yaygın bir şey “Kendi kimliğinizi yuvarlama” dır. Bunun bir nedeni var: Kimlik doğrulama uygulamak aldatıcı bir şekilde zordur. Kimlik doğrulama gereksinimlerinin çoğu göz ardı edilir. Modern kimlik doğrulamasının gerektirdiği bazı özellikler şunları içerir:

  • Brute-Force saldırılarını önlemek için giriş formunda oran sınırlama
  • Çok faktörlü kimlik doğrulama
  • Unutulmuş şifreleri sıfırlama yöntemi
  • Şifre depolama ve karma
  • Oturum yönetimi

Bu özelliklerden herhangi birinde küçük bir yanlışlık, kritik bir hesap devralma güvenlik açığı ile sonuçlanacaktır, bu nedenle kimlik doğrulama en iyi uygulamalarını takip etmek önemlidir. Daha sonra daha fazlası.

Çok faktörlü kimlik doğrulama (MFA)

2024’te MFA bir gerekli Kimlik doğrulama işleminin bir parçası. MFA, kullanıcıların yetkisiz erişimi önlemek için iki veya daha fazla benzersiz tanımlayıcı sağlamasını gerektirir. Bu tanımlayıcılar şunları içerir:

  • Bir şey kullanıcı bilir: Bir hesabın kullanıcı adı ve şifresi, kişisel kimlik numarası (PIN) ve güvenlik sorularına doğru cevaplar, bir kullanıcı faktörlerine örnektir bilir.
  • Bir şey kullanıcı sahip olmak: Bir kullanıcının cihazına, bir kimlik doğrulayıcı uygulaması veya kayıtlı hesapla ilişkili telefon numarası veya e -posta adresi gibi iletişim yöntemleri aracılığıyla sunulan benzersiz erişim kodları.
  • Bir şey kullanıcı ki: Yüz tanıma, ses tanıma, parmak izi veya göz tarama teknolojisi gibi biyometrik tarayıcılar.

Ne yazık ki, MFA uygulandığında bile, zayıf uygulamalar atlanabilir. Bunun nispeten yaygın bir örneği, geçerli kimlik bilgilerinin MFA doğrulanmadan önce bir oturum jetonu vermesidir, bu da aşağıdaki gerçek örnekte olan şeydir.

Bir MFA baypas güvenlik açığı örneği

14 Ocak 2024’te güvenlik araştırmacısı AKHAN8041, Drugs.com Güvenlik Açığı Açıklama Programı (VDP).

Geçerli hesap kimlik bilgilerini gönderdikten sonra
https://drugs.com/account/loginkullanıcı kayıtlı e-posta adreslerine bir kerelik şifre alır. Kullanıcı, hesaplarına erişmek için bir kerelik şifreyi MFA formuna girmelidir; Bununla birlikte, doğrulama eksikliği nedeniyle, kullanıcılar MFA’yı tamamen atlayabildiler ve geçerli bir kullanıcı oturumunu sürdürebildi.

Bu web uygulaması hassas sağlık bilgilerine bir arayüz sağladığından, bulgu ciddiyet olarak kritik olarak derecelendirildi.

Üreme Adımları

  1. Geçerli kullanıcı kimlik bilgileri giriş formu üzerinden gönderildi /hesap/giriş.
  2. Sonraki sayfada, /hesap/doğrulama-erişim/? Yönlendirici =%2fkullanıcılara şu mesaj verilir: ” [account email address]. Aşağıdaki 6 haneli kodu girin. ”
  3. Ancak, bu noktada, uygulama sunucusu aktif bir kullanıcı oturumu için gerekli tüm çerezleri zaten yayınlamıştı.
  4. Sadece silerek BB_REFRESH Çerez ve sayfayı yeniden yükleyerek, MFA mekanizması atlatılabilir ve bir kullanıcı normal kimlik doğrulamalı kullanıcı etkinliğine devam edebilir.

MFA saldırılarına karşı koruma

MFA uygulamaları birçok yönden savunmasız olabilir. Aşağıda, bunların nasıl önleneceği ile birlikte ana olanlardan bazıları bulunmaktadır.

Kahraman MFA Kodları

Saldırganlar, özellikle bu kodlar zayıfsa veya öngörülebilir kalıplara sahipse, OTP’lere veya kurtarma kodlarına kaba saldırılar deneyebilirler. Saldırganlar ayrıca kimlik doğrulama uç noktalarına girişi tahmin ederek veya otomatikleştirerek kaba zorlamaya çalışabilirler.

Bunu azaltmak için, oran sınırlama ve kilitleme uygulayın ve OTP’lerin ömrünü azaltın. OTP’lerin yalnızca bir kez kullanılabileceğinden ve birden fazla OTP’nin aynı anda aktif olamayacağından emin olun.

OTP maruziyeti

Bazı durumlarda doğru OTP kodu, girmesi gerekmeden önce saldırgan tarafından alınabilir. Bunun bazı örnekleri:

  • Giriş sayfasında erişilebilir HTML veya JavaScript’te ortaya çıkan OTP kodu
  • OTP kodu düz metin içinde bir yerde kaydedildi
  • Güvensiz kanallar aracılığıyla gönderildiklerinde (SMS içerebilir!)

Kodun uygulamada asla basılmadığından emin olun. Uygulama tabanlı kimlik doğrulama veya donanım jetonları gibi daha güvenli yöntemler lehine mümkün olduğunca SMS tabanlı OTP’lerden kaçının. OTP’lerin hem transitte hem de dinlenmede şifrelendiğinden emin olun. Kazara maruz kalmayı önlemek için OTP’leri kütüklerde maskeleyen uygulama kaydı politikalarını zorlayın.

Yanlış Oturum Yönetimi

Yukarıdaki örnekte, MFA kodu doğrulanmadan önce kullanıcıya geçerli bir oturum jetonu gönderildi. Kullanıcının yalnızca bir istemci tarafı çerezinin (bir saldırgan tarafından kolayca kaldırılabilen) varlığıyla doğrulanması durduruldu. Bu, uygunsuz oturum yönetiminin bir örneğidir.

Oturum belirteçleri sadece Tam kimlik doğrulama işlemi gerçekleştikten ve sunucu tarafında doğrulandıktan sonra reçete edilebilir.

Hem bilgi ve teknik yelpazesini kapsayan daha fazla değerlendirme ile, insan destekli güvenlik testlerinin gücü sayesinde kimlik doğrulama mekanizmalarınızın sertleşmesini sağlayabilirsiniz.

11 Kimlik Doğrulama En İyi Uygulamalar

Kimlik doğrulama söz konusu olduğunda bazı en iyi uygulamalar da vardır. Daha önemli olanlardan bazılarına bir göz atalım.

1. Brute-Force Önleme için Hız Sınırlama

Oran sınırlama yokluğunda, kaba kuvvet saldırıları uygulanabilir hale gelir:

  • Belirli bir dönem içinde giriş denemelerinin sayısına sınırlar belirleyin.
  • Kimlik bilgisi doldurma saldırılarına karşı koymak için captchas uygulayın.

2. Güçlü şifre politikalarının uygulanması

Daha güçlü güvenliği uygulayan şifre politikalarını tanımlayın:

  • Harf, sayılar ve özel karakterlerin bir karışımını içeren karmaşık şifreler gerektirir.
  • Parolaların minimum uzunluğunu uygulayın ve parolalara izin vermek için maksimum uzunluğu en az 64 karakter olarak zorlayın.
  • Düzgün kullanılmadıkça sözlük kelimelerini veya yaygın olarak kullanılan ifadeleri reddedin.
  • Şifredeki kullanıcı adı, ad veya e -posta adresi gibi tanımlayıcıların reddedilmesi.
  • Eski şifrelerin yeniden kullanılmasını önleyin.
  • İhlal durumunda şifreler döndürülmelidir.
  • Daha önce ihlal edilen şifreleri bloke edin. Pwned şifreleri gibi hizmetler bu amaçla kullanılabilir.

3. Kimlik bilgilerinin güvenli bir şekilde kullanılması

Kimlik bilgilerinin sunulmasına, depolanmasına, kurtarılmasına ve değiştirilmesine dikkat edilmelidir:

  • Aktarım Katmanı Güvenliği (TLS) aracılığıyla şifrelenmiş bağlantılar kullanın.
  • Veritabanında Argon2ID gibi güvenli kriptografik algoritmalara sahip karma ve tuz şifreleri.
  • Tuzlamaya ek olarak bir biber kullanmayı düşünün.
  • Kullanıcıların şifrelerini değiştirmeden önce yeniden kimlik doğrulamalarını isteyin.
  • Siteler arası istek asmeni (CSRF) belirteçlerini kullanın.

4. Oturum zaman aşımını uygulayın

Oturum zaman aşımlarının uygulanması, katılımsız cihazlardan yetkisiz erişimi önlemeye yardımcı olur. Bu özellikle bankacılık uygulamaları gibi son derece hassas uygulamalar için önemlidir.

5. Hata Mesajı Yönetimi

Saldırganların ipuçlarını vermekten kaçınmak için hata mesajları dikkatle ele alınmalıdır:

  • Ayrıntılı hata mesajlarını devre dışı bırakın.
  • Hesap numaralandırmasını önlemek için bir kullanıcı adının olup olmadığını belirtmekten kaçının.

6. Sistem izlemeyi uygulayın

Güvenli kimlik doğrulama uygulamalarına rağmen, ihlaller meydana gelebilir. Başarısız giriş denemeleri, şifre arızaları ve hesap kilitlemeleri dahil tüm kimlik doğrulama işlevlerini günlüğe kaydedin ve izleyin. Potansiyel saldırıları tespit etmek ve yanıtlamak için bu günlükleri düzenli olarak gözden geçirin.

7. Kendi kimlik doğrulamanızı devirmeyin

Kendi kimlik doğrulama sisteminizi oluşturmak yönetilebilir görünebilir, ancak nadiren tavsiye edilir. Kimlik doğrulama karmaşıktır ve ince güvenlik kusurları sisteminizi saldırılara karşı savunmasız hale getirebilir. Yerleşik ve test edilen kütüphanelerin veya hizmetlerin kullanılması, yaygın olarak incelenen, düzenli olarak güncellenmiş çözümler kullanılarak güvenlik güvenlik açıklarının en aza indirilmesini sağlar. Özel uygulamalar genellikle sofistike saldırılara karşı etkili bir şekilde savunmak için gereken incelemeden ve esneklikten yoksundur.

8. Çok faktörlü kimlik doğrulama uygulayın

MFA, birden fazla doğrulama yöntemi gerektirerek ekstra bir güvenlik katmanı ekler:

  • Kullanıcının bildiği bir şeyi (şifre) sahip oldukları bir şeyle (bir cihaz) veya oldukları bir şeyle (biyometrik veriler) birleştirin.
  • Kritik verilere erişmek veya önemli hesap değişiklikleri yapmak gibi hassas eylemler için MFA uygulayın.
  • İdari veya yüksek ayrıcalıklı kullanıcılar için MFA gerektirir.

9. Güvenli Hesap Kurtarma Süreçleri

Hesap kurtarma mekanizmaları saldırganlar için ortak bir hedeftir:

  • Kolayca tahmin edilen kurtarma sorularını kullanmaktan kaçının ve şifre sıfırlamaları için çok faktörlü doğrulamayı destekleyin.
  • Kurtarma için e-posta veya SMS doğrulama kodlarını kullanın, ancak ek güvenlik için uygulama tabanlı kimlik doğrulayıcıları da dikkate alın.
  • Parola kurtarmaya yönelik kaba kuvvet saldırılarını önlemek için hesap kilitleme mekanizmalarını uygulayın.
  • Olağandışı etkinlik için hesap kurtarma taleplerini izleyin.

10. Şüpheli giriş davranışı için monitör

Olağandışı etkinliği tespit etmek için giriş kalıplarını izleyin ve analiz edin:

  • Şüpheli konumlardan gelen giriş girişimlerini belirlemek için IP tabanlı izleme uygulayın.
  • Farklı hesaplarda anormal giriş süreleri veya hızlı denemeler için izleyin.
  • Potansiyel olarak kötü niyetli davranışları işaretlemek için makine öğrenimi veya kural tabanlı sistemleri kullanın.

11. Günlük ve denetim kimlik doğrulama olayları

Günlük, hesap verebilirlik ve tehdit algılaması için kimlik doğrulama ile ilgili etkinliği izlemeye yardımcı olur:

  • Potansiyel kaba kuvvet saldırılarını tanımlamak için hem başarılı hem de başarısız olan günlük giriş girişimleri.
  • Günlükleri denetim amacıyla güvenli bir şekilde saklayın ve şüpheli faaliyetler için uyarılar ayarlayın.
  • Herhangi bir anormallik için erişim günlüklerini düzenli olarak inceleyin.

Çözüm

Çok faktörlü kimlik doğrulama, gerekli olsa da, yalnızca uygulanması kadar güvenlidir. Araştırdığımız gibi, kimlik doğrulama güvenlik açıkları, uygunsuz oturum yönetimi gibi basit gözetimlerden, kaba çalışılabilir MFA kodları ve OTP maruziyeti gibi daha karmaşık konulara yönelebilir.

Kimlik doğrulamasının güvence altına alınması, güçlü oturum kullanımı, hız sınırlama ve sağlam kurtarma işlemleri gerektirir. “Kendi kimliğinizi yuvarlamaktan” kaçınmak ve bunun yerine mümkün olduğunca kanıtlanmış, denetlenmiş çözümlere güvenmek önemlidir. Hackerone gibi platformlar tarafından örneklendiği gibi, insan destekli güvenlik testi, kimlik doğrulama mantığı içindeki güvenlik açıklarına göre değerli bilgiler sağlar ve kuruluşların potansiyel istismarların önünde kalmasına yardımcı olur.



Source link