コーダーがセキュリティを征服する:共有して学ぶシリーズ-認証
このブログでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできる組織、つまりほとんどの人が直面する最も一般的な問題の1つを取り上げます。さて、これから認証について話すのはお察しのとおりです。
ハッカーが有効なユーザー名とパスワードで管理者としてシステムにログインできれば、ネットワーク防御と戦うための高度なテクニックを導入する必要はありません。システムは単にドアを開け、攻撃者を中に入れるだけです。さらに悪いことに、攻撃者があまり風変わりなことをしなければ、攻撃者の存在を検知することはほとんど不可能です。ほとんどの防御では、攻撃者は単に攻撃者を正当なユーザーまたは管理者としか見なさないからです。
認証の脆弱性のカテゴリは非常に大きいですが、ユーザーのログインプロセスに誤って組み込まれる傾向がある最も一般的な問題について説明します。これらのホールを補うことで、認証に関する問題の大半を組織から取り除くことができます。
このエピソードでは、次のことを学びます。
- 一般的な認証の脆弱性がどのように悪用されているか
- なぜ彼らはそんなに危険なのか
- 認証の脆弱性を排除するためにどのようなポリシーと手法を使用できるか
攻撃者は認証の脆弱性をどのように悪用しますか?
認証システムに侵入する可能性のある認証の脆弱性はかなりあるため、ハッカーはそれぞれ少しずつ異なる方法で悪用します。まず、最も一般的な脆弱性を確認し、次にそのいくつかがどのように悪用されるかを示す例を挙げてみましょう。
最も一般的な認証の脆弱性は次のとおりです。
- パスワードポリシーが弱いか不十分
- 無制限のログイン試行を許可し、
- ログインに失敗した情報を攻撃者に提供し、
- 安全でないチャネルでの認証情報の送信、
- パスワードのハッシュが弱い
- また、パスワード回復プロセスが安全ではありません。
脆弱なパスワードポリシーを持つことは、おそらく最も一般的な脆弱性です。制限なしでパスワードを作成できるユーザーがいると、推測しやすいパスワードを使用するユーザーが多すぎます。毎年、さまざまなコンピューターニュース組織が最もよく使われているパスワードのリストを発表していますが、「123456」と「password」は常に上位5位に入っています。他にもあります。管理者は「神」をよく使います。確かに、それらはすべてユーモラスで覚えやすいだけでなく、推測するのも非常に簡単です。ハッカーは最も一般的なパスワードを知っており、システムへの侵入を試みるときにはまずそのパスワードを試します。このようなパスワードが組織で許可されていると、やがて侵害されてしまいます。
それほど明白ではありませんが、それでも危険な脆弱性は、ログインの失敗に関する情報をユーザーに返すことです。これは悪いことです。というのも、あるメッセージをユーザー名が存在しない場合と、ユーザー名は存在するがパスワードが不適切な場合に別のメッセージを返すと、攻撃者はシステム上の有効なユーザーを突き止め、そのユーザー名のパスワードを推測することに集中できるようになるからです。これを、無制限のパスワード推測を可能にする認証の脆弱性と組み合わせると、攻撃者は見つけた有効なユーザーに対して辞書攻撃を仕掛けることができ、パスワードを推測しやすい場合は、攻撃者はすぐにシステムに侵入する可能性があります。
認証の脆弱性はなぜそれほど危険なのですか?
アメリカの旧西部には、偏執的なホームステッドが玄関のドアにトリプルロックを取り付け、窓に板を張り、手の届くところにたくさんの銃を持って寝ていたという話があります。朝、彼は死んでいるのが発見された。彼が裏口に鍵をかけるのを忘れたので、攻撃者が彼を捕まえた。認証の脆弱性とはよく似たものです。攻撃者が有効なユーザー名とパスワードを使用してネットワークに侵入できるのであれば、どのような監視ツールや事前対策を講じているか、何人の専門アナリストを雇っていようと、まったく問題ありません。
いったん中に入ると、攻撃者ができることに対する制限はほとんどありません。攻撃者がユーザー権限の範囲内で行動している限り(管理者アカウントを侵害した場合はかなり広範囲に及ぶ可能性があります)、深刻な問題を防ぐために時間内に捕まる可能性はほとんどありません。そのため、認証クラスの脆弱性は、どのシステムでも最も危険な脆弱性の 1 つとなっています。
認証脆弱性の排除
ネットワークから認証の脆弱性を排除する最善の方法の 1 つは、適切なパスワードポリシーをグローバルに適用することです。ユーザー、さらには管理者が「パスワード」のようなパスワードの使用を制限すべきであるだけでなく、攻撃者が辞書や一般的なフレーズを使った攻撃を仕掛けることを不可能にするような複雑さを強いる必要があります。システムを保護することの重要性に基づいて、パスワード作成に関する独自のルールを考案できます。そうすることで、攻撃者がパスワードを推測したり、ブルートフォースしたりするのがはるかに困難になります。
また、間違ったパスワードが3回以上入力された場合にユーザーがロックアウトされるように、ログインの失敗回数を制限する必要があります。ロックアウトは一時的なものでもかまいません。数分遅れるだけで、自動辞書攻撃の継続を防ぐことができます。または、管理者によってアカウントのロックが解除されない限り、恒久的にロックされることもあります。いずれの場合も、セキュリティ担当者が状況を監視できるように、ロックアウトが発生するたびにセキュリティ担当者に警告する必要があります。
攻撃者が情報を収集するのを防ぐもう 1 つの良い方法は、不正なユーザー名またはパスワードが入力されたときに汎用的なメッセージを作成することです。ハッカーが拒否されたのは、ユーザーが存在しないためなのか、それともパスワードが間違っているためなのかをハッカーが知ることができないように、どちらの場合も同じでなければなりません。
認証の脆弱性は、ほとんどのシステムで最も一般的で危険なものです。しかし、発見や排除もかなり簡単です。
認証の脆弱性に関する詳細情報
詳細については、OWASPをご覧ください 認証チートシート。また、新しく身につけた防御知識を、次の方法で試すこともできます 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
Secure Code Warriorプラットフォームで、認証の脆弱性に正面から立ち向かってください。 [ここから始める]
ここでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできるようにする組織が直面する最も一般的な問題の 1 つを取り上げます。これはほぼ全員の問題です。さて、これから認証について話すのはお察しのとおりです。
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
このブログでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできる組織、つまりほとんどの人が直面する最も一般的な問題の1つを取り上げます。さて、これから認証について話すのはお察しのとおりです。
ハッカーが有効なユーザー名とパスワードで管理者としてシステムにログインできれば、ネットワーク防御と戦うための高度なテクニックを導入する必要はありません。システムは単にドアを開け、攻撃者を中に入れるだけです。さらに悪いことに、攻撃者があまり風変わりなことをしなければ、攻撃者の存在を検知することはほとんど不可能です。ほとんどの防御では、攻撃者は単に攻撃者を正当なユーザーまたは管理者としか見なさないからです。
認証の脆弱性のカテゴリは非常に大きいですが、ユーザーのログインプロセスに誤って組み込まれる傾向がある最も一般的な問題について説明します。これらのホールを補うことで、認証に関する問題の大半を組織から取り除くことができます。
このエピソードでは、次のことを学びます。
- 一般的な認証の脆弱性がどのように悪用されているか
- なぜ彼らはそんなに危険なのか
- 認証の脆弱性を排除するためにどのようなポリシーと手法を使用できるか
攻撃者は認証の脆弱性をどのように悪用しますか?
認証システムに侵入する可能性のある認証の脆弱性はかなりあるため、ハッカーはそれぞれ少しずつ異なる方法で悪用します。まず、最も一般的な脆弱性を確認し、次にそのいくつかがどのように悪用されるかを示す例を挙げてみましょう。
最も一般的な認証の脆弱性は次のとおりです。
- パスワードポリシーが弱いか不十分
- 無制限のログイン試行を許可し、
- ログインに失敗した情報を攻撃者に提供し、
- 安全でないチャネルでの認証情報の送信、
- パスワードのハッシュが弱い
- また、パスワード回復プロセスが安全ではありません。
脆弱なパスワードポリシーを持つことは、おそらく最も一般的な脆弱性です。制限なしでパスワードを作成できるユーザーがいると、推測しやすいパスワードを使用するユーザーが多すぎます。毎年、さまざまなコンピューターニュース組織が最もよく使われているパスワードのリストを発表していますが、「123456」と「password」は常に上位5位に入っています。他にもあります。管理者は「神」をよく使います。確かに、それらはすべてユーモラスで覚えやすいだけでなく、推測するのも非常に簡単です。ハッカーは最も一般的なパスワードを知っており、システムへの侵入を試みるときにはまずそのパスワードを試します。このようなパスワードが組織で許可されていると、やがて侵害されてしまいます。
それほど明白ではありませんが、それでも危険な脆弱性は、ログインの失敗に関する情報をユーザーに返すことです。これは悪いことです。というのも、あるメッセージをユーザー名が存在しない場合と、ユーザー名は存在するがパスワードが不適切な場合に別のメッセージを返すと、攻撃者はシステム上の有効なユーザーを突き止め、そのユーザー名のパスワードを推測することに集中できるようになるからです。これを、無制限のパスワード推測を可能にする認証の脆弱性と組み合わせると、攻撃者は見つけた有効なユーザーに対して辞書攻撃を仕掛けることができ、パスワードを推測しやすい場合は、攻撃者はすぐにシステムに侵入する可能性があります。
認証の脆弱性はなぜそれほど危険なのですか?
アメリカの旧西部には、偏執的なホームステッドが玄関のドアにトリプルロックを取り付け、窓に板を張り、手の届くところにたくさんの銃を持って寝ていたという話があります。朝、彼は死んでいるのが発見された。彼が裏口に鍵をかけるのを忘れたので、攻撃者が彼を捕まえた。認証の脆弱性とはよく似たものです。攻撃者が有効なユーザー名とパスワードを使用してネットワークに侵入できるのであれば、どのような監視ツールや事前対策を講じているか、何人の専門アナリストを雇っていようと、まったく問題ありません。
いったん中に入ると、攻撃者ができることに対する制限はほとんどありません。攻撃者がユーザー権限の範囲内で行動している限り(管理者アカウントを侵害した場合はかなり広範囲に及ぶ可能性があります)、深刻な問題を防ぐために時間内に捕まる可能性はほとんどありません。そのため、認証クラスの脆弱性は、どのシステムでも最も危険な脆弱性の 1 つとなっています。
認証脆弱性の排除
ネットワークから認証の脆弱性を排除する最善の方法の 1 つは、適切なパスワードポリシーをグローバルに適用することです。ユーザー、さらには管理者が「パスワード」のようなパスワードの使用を制限すべきであるだけでなく、攻撃者が辞書や一般的なフレーズを使った攻撃を仕掛けることを不可能にするような複雑さを強いる必要があります。システムを保護することの重要性に基づいて、パスワード作成に関する独自のルールを考案できます。そうすることで、攻撃者がパスワードを推測したり、ブルートフォースしたりするのがはるかに困難になります。
また、間違ったパスワードが3回以上入力された場合にユーザーがロックアウトされるように、ログインの失敗回数を制限する必要があります。ロックアウトは一時的なものでもかまいません。数分遅れるだけで、自動辞書攻撃の継続を防ぐことができます。または、管理者によってアカウントのロックが解除されない限り、恒久的にロックされることもあります。いずれの場合も、セキュリティ担当者が状況を監視できるように、ロックアウトが発生するたびにセキュリティ担当者に警告する必要があります。
攻撃者が情報を収集するのを防ぐもう 1 つの良い方法は、不正なユーザー名またはパスワードが入力されたときに汎用的なメッセージを作成することです。ハッカーが拒否されたのは、ユーザーが存在しないためなのか、それともパスワードが間違っているためなのかをハッカーが知ることができないように、どちらの場合も同じでなければなりません。
認証の脆弱性は、ほとんどのシステムで最も一般的で危険なものです。しかし、発見や排除もかなり簡単です。
認証の脆弱性に関する詳細情報
詳細については、OWASPをご覧ください 認証チートシート。また、新しく身につけた防御知識を、次の方法で試すこともできます 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
Secure Code Warriorプラットフォームで、認証の脆弱性に正面から立ち向かってください。 [ここから始める]
このブログでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできる組織、つまりほとんどの人が直面する最も一般的な問題の1つを取り上げます。さて、これから認証について話すのはお察しのとおりです。
ハッカーが有効なユーザー名とパスワードで管理者としてシステムにログインできれば、ネットワーク防御と戦うための高度なテクニックを導入する必要はありません。システムは単にドアを開け、攻撃者を中に入れるだけです。さらに悪いことに、攻撃者があまり風変わりなことをしなければ、攻撃者の存在を検知することはほとんど不可能です。ほとんどの防御では、攻撃者は単に攻撃者を正当なユーザーまたは管理者としか見なさないからです。
認証の脆弱性のカテゴリは非常に大きいですが、ユーザーのログインプロセスに誤って組み込まれる傾向がある最も一般的な問題について説明します。これらのホールを補うことで、認証に関する問題の大半を組織から取り除くことができます。
このエピソードでは、次のことを学びます。
- 一般的な認証の脆弱性がどのように悪用されているか
- なぜ彼らはそんなに危険なのか
- 認証の脆弱性を排除するためにどのようなポリシーと手法を使用できるか
攻撃者は認証の脆弱性をどのように悪用しますか?
認証システムに侵入する可能性のある認証の脆弱性はかなりあるため、ハッカーはそれぞれ少しずつ異なる方法で悪用します。まず、最も一般的な脆弱性を確認し、次にそのいくつかがどのように悪用されるかを示す例を挙げてみましょう。
最も一般的な認証の脆弱性は次のとおりです。
- パスワードポリシーが弱いか不十分
- 無制限のログイン試行を許可し、
- ログインに失敗した情報を攻撃者に提供し、
- 安全でないチャネルでの認証情報の送信、
- パスワードのハッシュが弱い
- また、パスワード回復プロセスが安全ではありません。
脆弱なパスワードポリシーを持つことは、おそらく最も一般的な脆弱性です。制限なしでパスワードを作成できるユーザーがいると、推測しやすいパスワードを使用するユーザーが多すぎます。毎年、さまざまなコンピューターニュース組織が最もよく使われているパスワードのリストを発表していますが、「123456」と「password」は常に上位5位に入っています。他にもあります。管理者は「神」をよく使います。確かに、それらはすべてユーモラスで覚えやすいだけでなく、推測するのも非常に簡単です。ハッカーは最も一般的なパスワードを知っており、システムへの侵入を試みるときにはまずそのパスワードを試します。このようなパスワードが組織で許可されていると、やがて侵害されてしまいます。
それほど明白ではありませんが、それでも危険な脆弱性は、ログインの失敗に関する情報をユーザーに返すことです。これは悪いことです。というのも、あるメッセージをユーザー名が存在しない場合と、ユーザー名は存在するがパスワードが不適切な場合に別のメッセージを返すと、攻撃者はシステム上の有効なユーザーを突き止め、そのユーザー名のパスワードを推測することに集中できるようになるからです。これを、無制限のパスワード推測を可能にする認証の脆弱性と組み合わせると、攻撃者は見つけた有効なユーザーに対して辞書攻撃を仕掛けることができ、パスワードを推測しやすい場合は、攻撃者はすぐにシステムに侵入する可能性があります。
認証の脆弱性はなぜそれほど危険なのですか?
アメリカの旧西部には、偏執的なホームステッドが玄関のドアにトリプルロックを取り付け、窓に板を張り、手の届くところにたくさんの銃を持って寝ていたという話があります。朝、彼は死んでいるのが発見された。彼が裏口に鍵をかけるのを忘れたので、攻撃者が彼を捕まえた。認証の脆弱性とはよく似たものです。攻撃者が有効なユーザー名とパスワードを使用してネットワークに侵入できるのであれば、どのような監視ツールや事前対策を講じているか、何人の専門アナリストを雇っていようと、まったく問題ありません。
いったん中に入ると、攻撃者ができることに対する制限はほとんどありません。攻撃者がユーザー権限の範囲内で行動している限り(管理者アカウントを侵害した場合はかなり広範囲に及ぶ可能性があります)、深刻な問題を防ぐために時間内に捕まる可能性はほとんどありません。そのため、認証クラスの脆弱性は、どのシステムでも最も危険な脆弱性の 1 つとなっています。
認証脆弱性の排除
ネットワークから認証の脆弱性を排除する最善の方法の 1 つは、適切なパスワードポリシーをグローバルに適用することです。ユーザー、さらには管理者が「パスワード」のようなパスワードの使用を制限すべきであるだけでなく、攻撃者が辞書や一般的なフレーズを使った攻撃を仕掛けることを不可能にするような複雑さを強いる必要があります。システムを保護することの重要性に基づいて、パスワード作成に関する独自のルールを考案できます。そうすることで、攻撃者がパスワードを推測したり、ブルートフォースしたりするのがはるかに困難になります。
また、間違ったパスワードが3回以上入力された場合にユーザーがロックアウトされるように、ログインの失敗回数を制限する必要があります。ロックアウトは一時的なものでもかまいません。数分遅れるだけで、自動辞書攻撃の継続を防ぐことができます。または、管理者によってアカウントのロックが解除されない限り、恒久的にロックされることもあります。いずれの場合も、セキュリティ担当者が状況を監視できるように、ロックアウトが発生するたびにセキュリティ担当者に警告する必要があります。
攻撃者が情報を収集するのを防ぐもう 1 つの良い方法は、不正なユーザー名またはパスワードが入力されたときに汎用的なメッセージを作成することです。ハッカーが拒否されたのは、ユーザーが存在しないためなのか、それともパスワードが間違っているためなのかをハッカーが知ることができないように、どちらの場合も同じでなければなりません。
認証の脆弱性は、ほとんどのシステムで最も一般的で危険なものです。しかし、発見や排除もかなり簡単です。
認証の脆弱性に関する詳細情報
詳細については、OWASPをご覧ください 認証チートシート。また、新しく身につけた防御知識を、次の方法で試すこともできます 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
Secure Code Warriorプラットフォームで、認証の脆弱性に正面から立ち向かってください。 [ここから始める]
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
このブログでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできる組織、つまりほとんどの人が直面する最も一般的な問題の1つを取り上げます。さて、これから認証について話すのはお察しのとおりです。
ハッカーが有効なユーザー名とパスワードで管理者としてシステムにログインできれば、ネットワーク防御と戦うための高度なテクニックを導入する必要はありません。システムは単にドアを開け、攻撃者を中に入れるだけです。さらに悪いことに、攻撃者があまり風変わりなことをしなければ、攻撃者の存在を検知することはほとんど不可能です。ほとんどの防御では、攻撃者は単に攻撃者を正当なユーザーまたは管理者としか見なさないからです。
認証の脆弱性のカテゴリは非常に大きいですが、ユーザーのログインプロセスに誤って組み込まれる傾向がある最も一般的な問題について説明します。これらのホールを補うことで、認証に関する問題の大半を組織から取り除くことができます。
このエピソードでは、次のことを学びます。
- 一般的な認証の脆弱性がどのように悪用されているか
- なぜ彼らはそんなに危険なのか
- 認証の脆弱性を排除するためにどのようなポリシーと手法を使用できるか
攻撃者は認証の脆弱性をどのように悪用しますか?
認証システムに侵入する可能性のある認証の脆弱性はかなりあるため、ハッカーはそれぞれ少しずつ異なる方法で悪用します。まず、最も一般的な脆弱性を確認し、次にそのいくつかがどのように悪用されるかを示す例を挙げてみましょう。
最も一般的な認証の脆弱性は次のとおりです。
- パスワードポリシーが弱いか不十分
- 無制限のログイン試行を許可し、
- ログインに失敗した情報を攻撃者に提供し、
- 安全でないチャネルでの認証情報の送信、
- パスワードのハッシュが弱い
- また、パスワード回復プロセスが安全ではありません。
脆弱なパスワードポリシーを持つことは、おそらく最も一般的な脆弱性です。制限なしでパスワードを作成できるユーザーがいると、推測しやすいパスワードを使用するユーザーが多すぎます。毎年、さまざまなコンピューターニュース組織が最もよく使われているパスワードのリストを発表していますが、「123456」と「password」は常に上位5位に入っています。他にもあります。管理者は「神」をよく使います。確かに、それらはすべてユーモラスで覚えやすいだけでなく、推測するのも非常に簡単です。ハッカーは最も一般的なパスワードを知っており、システムへの侵入を試みるときにはまずそのパスワードを試します。このようなパスワードが組織で許可されていると、やがて侵害されてしまいます。
それほど明白ではありませんが、それでも危険な脆弱性は、ログインの失敗に関する情報をユーザーに返すことです。これは悪いことです。というのも、あるメッセージをユーザー名が存在しない場合と、ユーザー名は存在するがパスワードが不適切な場合に別のメッセージを返すと、攻撃者はシステム上の有効なユーザーを突き止め、そのユーザー名のパスワードを推測することに集中できるようになるからです。これを、無制限のパスワード推測を可能にする認証の脆弱性と組み合わせると、攻撃者は見つけた有効なユーザーに対して辞書攻撃を仕掛けることができ、パスワードを推測しやすい場合は、攻撃者はすぐにシステムに侵入する可能性があります。
認証の脆弱性はなぜそれほど危険なのですか?
アメリカの旧西部には、偏執的なホームステッドが玄関のドアにトリプルロックを取り付け、窓に板を張り、手の届くところにたくさんの銃を持って寝ていたという話があります。朝、彼は死んでいるのが発見された。彼が裏口に鍵をかけるのを忘れたので、攻撃者が彼を捕まえた。認証の脆弱性とはよく似たものです。攻撃者が有効なユーザー名とパスワードを使用してネットワークに侵入できるのであれば、どのような監視ツールや事前対策を講じているか、何人の専門アナリストを雇っていようと、まったく問題ありません。
いったん中に入ると、攻撃者ができることに対する制限はほとんどありません。攻撃者がユーザー権限の範囲内で行動している限り(管理者アカウントを侵害した場合はかなり広範囲に及ぶ可能性があります)、深刻な問題を防ぐために時間内に捕まる可能性はほとんどありません。そのため、認証クラスの脆弱性は、どのシステムでも最も危険な脆弱性の 1 つとなっています。
認証脆弱性の排除
ネットワークから認証の脆弱性を排除する最善の方法の 1 つは、適切なパスワードポリシーをグローバルに適用することです。ユーザー、さらには管理者が「パスワード」のようなパスワードの使用を制限すべきであるだけでなく、攻撃者が辞書や一般的なフレーズを使った攻撃を仕掛けることを不可能にするような複雑さを強いる必要があります。システムを保護することの重要性に基づいて、パスワード作成に関する独自のルールを考案できます。そうすることで、攻撃者がパスワードを推測したり、ブルートフォースしたりするのがはるかに困難になります。
また、間違ったパスワードが3回以上入力された場合にユーザーがロックアウトされるように、ログインの失敗回数を制限する必要があります。ロックアウトは一時的なものでもかまいません。数分遅れるだけで、自動辞書攻撃の継続を防ぐことができます。または、管理者によってアカウントのロックが解除されない限り、恒久的にロックされることもあります。いずれの場合も、セキュリティ担当者が状況を監視できるように、ロックアウトが発生するたびにセキュリティ担当者に警告する必要があります。
攻撃者が情報を収集するのを防ぐもう 1 つの良い方法は、不正なユーザー名またはパスワードが入力されたときに汎用的なメッセージを作成することです。ハッカーが拒否されたのは、ユーザーが存在しないためなのか、それともパスワードが間違っているためなのかをハッカーが知ることができないように、どちらの場合も同じでなければなりません。
認証の脆弱性は、ほとんどのシステムで最も一般的で危険なものです。しかし、発見や排除もかなり簡単です。
認証の脆弱性に関する詳細情報
詳細については、OWASPをご覧ください 認証チートシート。また、新しく身につけた防御知識を、次の方法で試すこともできます 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
Secure Code Warriorプラットフォームで、認証の脆弱性に正面から立ち向かってください。 [ここから始める]
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
