SCW图标
感谢下载!
更多资源
英雄背景无分隔线
博客

Programmierer erobern Sicherheit: Share & Learn-Serie — Authentifizierung

Jaap Karan Singh
发布于 2019 年 4 月 11 日
最后更新于 2026年3月9日
安全编码技术
应用安全
开发者培训
播放视频按钮。
播放视频按钮。

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Passwort in ein System einloggen kann, müssen keine fortgeschrittenen Techniken zur Bekämpfung der Netzwerkabwehr eingesetzt werden. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch, wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu erkennen, da die meisten Abwehrmechanismen ihn einfach als einen gültigen Benutzer oder Administrator ansehen, der seine Arbeit erledigt.

Die Kategorie der Authentifizierungsschwachstellen ist ziemlich umfangreich, aber wir werden auf die häufigsten Probleme eingehen, die dazu neigen, versehentlich in Benutzeranmeldeprozessen zu landen. Indem Sie diese Lücken schließen, können Sie die überwiegende Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Episode werden wir lernen:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken können verwendet werden, um Authentifizierungsschwachstellen zu beseitigen.

Wie nutzen Angreifer Sicherheitslücken bei der Authentifizierung aus?

Es gibt eine ganze Reihe von Authentifizierungsschwachstellen, die sich in ein Authentifizierungssystem einschleichen können, sodass Hacker jede ein bisschen anders ausnutzen. Lassen Sie uns zunächst die häufigsten Sicherheitslücken durchgehen und dann anhand von Beispielen zeigen, wie einige von ihnen ausgenutzt werden könnten.

Zu den häufigsten Sicherheitslücken bei der Authentifizierung gehören:

  • schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche ermöglichen,
  • Bereitstellung von Informationen an einen Angreifer bei fehlgeschlagenen Anmeldungen,
  • Anmeldeinformationen über unsichere Kanäle senden,
  • Schwaches Hashing von Passwörtern,
  • Und einen unsicheren Passwortwiederherstellungsprozess haben.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Sicherheitslücke. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, verwenden viel zu viele von ihnen leicht zu erratende Passwörter. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Passwörter, und „123456" und „Passwort“ sind immer unter den ersten fünf. Es gibt noch andere. Administratoren verwenden „Gott“ sehr gerne. Stimmt, die sind alle entweder humorvoll oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Passwörter und probieren sie zuerst aus, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Passwörtern in Ihrem Unternehmen zulässig ist, werden Sie irgendwann missbraucht.

Eine weniger offensichtliche, aber immer noch gefährliche Sicherheitslücke besteht darin, einem Benutzer Informationen über eine fehlgeschlagene Anmeldung zurückzugeben. Das ist schlimm, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, ermöglicht es Angreifern, gültige Benutzer auf einem System zu identifizieren und sich darauf zu konzentrieren, Passwörter nur für diese Benutzernamen zu erraten. In Kombination mit der Sicherheitslücke in der Authentifizierung, die ein unbegrenztes Erraten von Passwörtern ermöglicht, könnten Angreifer Wörterbuchangriffe gegen alle gültigen Benutzer ausführen, die sie gefunden haben, wodurch sie relativ schnell in ein System gelangen könnten, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Gehöftler, der dreifache Schlösser an seiner Haustür anbrachte, seine Fenster zugenagelte und mit vielen Waffen in Reichweite schlief. Am Morgen wurde er tot aufgefunden. Seine Angreifer haben ihn erwischt, weil er vergessen hat, die Hintertür abzuschließen. Sicherheitslücken bei der Authentifizierung sind sehr ähnlich. Es spielt wirklich keine Rolle, welche Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Expertenanalysten Sie einsetzen, wenn ein Angreifer mit einem gültigen Benutzernamen und Passwort in Ihr Netzwerk eindringen kann.

Einmal drinnen, gibt es nur sehr wenige Einschränkungen, was der Angreifer tun kann. Solange sie im Rahmen ihrer Benutzerberechtigungen handeln, die sehr umfangreich sein können, wenn sie ein Administratorkonto kompromittiert haben, ist die Wahrscheinlichkeit sehr gering, dass sie rechtzeitig gefasst werden, um ernsthafte Probleme zu vermeiden. Dies macht die Sicherheitslücken der Authentifizierungsklasse zu einer der gefährlichsten, die es auf jedem System gibt.

Beseitigung von Authentifizierungsschwachstellen

Eine der besten Möglichkeiten, Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, weltweit durchgesetzte Passwortrichtlinien. Benutzer, selbst Administratoren, sollten nicht nur daran gehindert werden, Passwörter wie „Passwort“ zu verwenden, sondern auch gezwungen werden, eine Komplexität hinzuzufügen, die es einem Angreifer unmöglich macht, einen Angriff nach Art eines Wörterbuches oder allgemeiner Ausdrücke durchzuführen. Sie können sich Ihre eigenen Regeln für die Passworterstellung ausdenken, je nachdem, wie wichtig das zu schützende System ist. Dadurch wird es für Angreifer viel schwieriger, Passwörter zu erraten oder Brute-Force-Angriffe durchzuführen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche einschränken, sodass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als dreimal eingegeben wird. Die Sperrung kann vorübergehend sein, da selbst eine Verzögerung von wenigen Minuten verhindert, dass automatische Wörterbuchangriffe fortgesetzt werden. Sie kann aber auch dauerhaft sein, sofern das Konto nicht von einem Administrator entsperrt wird. In beiden Fällen sollte das Sicherheitspersonal bei einer solchen Sperrung alarmiert werden, damit es die Situation überwachen kann.

Eine weitere gute Methode, um zu verhindern, dass Angreifer Informationen sammeln, besteht darin, eine generische Nachricht zu verfassen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Es sollte in beiden Fällen dasselbe sein, damit Hacker nicht wissen, ob sie abgelehnt wurden, weil ein Benutzer nicht existiert oder weil er das falsche Passwort hat.

Authentifizierungsschwachstellen gehören auf den meisten Systemen zu den häufigsten und gefährlichsten. Sie sind aber auch relativ einfach zu finden und zu beseitigen.

Weitere Informationen zu Sicherheitslücken bei der Authentifizierung

Für weitere Informationen können Sie sich die OWASP ansehen Spickzettel zur Authentifizierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.

Treten Sie ein und stellen Sie sich einer Authentifizierungsschwachstelle in der Secure Code Warrior-Plattform direkt entgegen: [Fangen Sie hier an]

查看资源
查看资源

Wir werden eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.

想了解更多吗?

Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。

了解更多

Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。

预约演示
分享到:
领英品牌社交x 标志
作者
Jaap Karan Singh
2019年4月11日发布

Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。

分享到:
领英品牌社交x 标志
播放视频按钮。
播放视频按钮。

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Passwort in ein System einloggen kann, müssen keine fortgeschrittenen Techniken zur Bekämpfung der Netzwerkabwehr eingesetzt werden. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch, wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu erkennen, da die meisten Abwehrmechanismen ihn einfach als einen gültigen Benutzer oder Administrator ansehen, der seine Arbeit erledigt.

Die Kategorie der Authentifizierungsschwachstellen ist ziemlich umfangreich, aber wir werden auf die häufigsten Probleme eingehen, die dazu neigen, versehentlich in Benutzeranmeldeprozessen zu landen. Indem Sie diese Lücken schließen, können Sie die überwiegende Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Episode werden wir lernen:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken können verwendet werden, um Authentifizierungsschwachstellen zu beseitigen.

Wie nutzen Angreifer Sicherheitslücken bei der Authentifizierung aus?

Es gibt eine ganze Reihe von Authentifizierungsschwachstellen, die sich in ein Authentifizierungssystem einschleichen können, sodass Hacker jede ein bisschen anders ausnutzen. Lassen Sie uns zunächst die häufigsten Sicherheitslücken durchgehen und dann anhand von Beispielen zeigen, wie einige von ihnen ausgenutzt werden könnten.

Zu den häufigsten Sicherheitslücken bei der Authentifizierung gehören:

  • schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche ermöglichen,
  • Bereitstellung von Informationen an einen Angreifer bei fehlgeschlagenen Anmeldungen,
  • Anmeldeinformationen über unsichere Kanäle senden,
  • Schwaches Hashing von Passwörtern,
  • Und einen unsicheren Passwortwiederherstellungsprozess haben.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Sicherheitslücke. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, verwenden viel zu viele von ihnen leicht zu erratende Passwörter. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Passwörter, und „123456" und „Passwort“ sind immer unter den ersten fünf. Es gibt noch andere. Administratoren verwenden „Gott“ sehr gerne. Stimmt, die sind alle entweder humorvoll oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Passwörter und probieren sie zuerst aus, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Passwörtern in Ihrem Unternehmen zulässig ist, werden Sie irgendwann missbraucht.

Eine weniger offensichtliche, aber immer noch gefährliche Sicherheitslücke besteht darin, einem Benutzer Informationen über eine fehlgeschlagene Anmeldung zurückzugeben. Das ist schlimm, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, ermöglicht es Angreifern, gültige Benutzer auf einem System zu identifizieren und sich darauf zu konzentrieren, Passwörter nur für diese Benutzernamen zu erraten. In Kombination mit der Sicherheitslücke in der Authentifizierung, die ein unbegrenztes Erraten von Passwörtern ermöglicht, könnten Angreifer Wörterbuchangriffe gegen alle gültigen Benutzer ausführen, die sie gefunden haben, wodurch sie relativ schnell in ein System gelangen könnten, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Gehöftler, der dreifache Schlösser an seiner Haustür anbrachte, seine Fenster zugenagelte und mit vielen Waffen in Reichweite schlief. Am Morgen wurde er tot aufgefunden. Seine Angreifer haben ihn erwischt, weil er vergessen hat, die Hintertür abzuschließen. Sicherheitslücken bei der Authentifizierung sind sehr ähnlich. Es spielt wirklich keine Rolle, welche Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Expertenanalysten Sie einsetzen, wenn ein Angreifer mit einem gültigen Benutzernamen und Passwort in Ihr Netzwerk eindringen kann.

Einmal drinnen, gibt es nur sehr wenige Einschränkungen, was der Angreifer tun kann. Solange sie im Rahmen ihrer Benutzerberechtigungen handeln, die sehr umfangreich sein können, wenn sie ein Administratorkonto kompromittiert haben, ist die Wahrscheinlichkeit sehr gering, dass sie rechtzeitig gefasst werden, um ernsthafte Probleme zu vermeiden. Dies macht die Sicherheitslücken der Authentifizierungsklasse zu einer der gefährlichsten, die es auf jedem System gibt.

Beseitigung von Authentifizierungsschwachstellen

Eine der besten Möglichkeiten, Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, weltweit durchgesetzte Passwortrichtlinien. Benutzer, selbst Administratoren, sollten nicht nur daran gehindert werden, Passwörter wie „Passwort“ zu verwenden, sondern auch gezwungen werden, eine Komplexität hinzuzufügen, die es einem Angreifer unmöglich macht, einen Angriff nach Art eines Wörterbuches oder allgemeiner Ausdrücke durchzuführen. Sie können sich Ihre eigenen Regeln für die Passworterstellung ausdenken, je nachdem, wie wichtig das zu schützende System ist. Dadurch wird es für Angreifer viel schwieriger, Passwörter zu erraten oder Brute-Force-Angriffe durchzuführen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche einschränken, sodass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als dreimal eingegeben wird. Die Sperrung kann vorübergehend sein, da selbst eine Verzögerung von wenigen Minuten verhindert, dass automatische Wörterbuchangriffe fortgesetzt werden. Sie kann aber auch dauerhaft sein, sofern das Konto nicht von einem Administrator entsperrt wird. In beiden Fällen sollte das Sicherheitspersonal bei einer solchen Sperrung alarmiert werden, damit es die Situation überwachen kann.

Eine weitere gute Methode, um zu verhindern, dass Angreifer Informationen sammeln, besteht darin, eine generische Nachricht zu verfassen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Es sollte in beiden Fällen dasselbe sein, damit Hacker nicht wissen, ob sie abgelehnt wurden, weil ein Benutzer nicht existiert oder weil er das falsche Passwort hat.

Authentifizierungsschwachstellen gehören auf den meisten Systemen zu den häufigsten und gefährlichsten. Sie sind aber auch relativ einfach zu finden und zu beseitigen.

Weitere Informationen zu Sicherheitslücken bei der Authentifizierung

Für weitere Informationen können Sie sich die OWASP ansehen Spickzettel zur Authentifizierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.

Treten Sie ein und stellen Sie sich einer Authentifizierungsschwachstelle in der Secure Code Warrior-Plattform direkt entgegen: [Fangen Sie hier an]

查看资源
查看资源

请填写下方表格以下载报告

我们恳请您允许我们向您发送有关我们产品及/或安全编码相关主题的信息。我们将始终以最高标准谨慎处理您的个人数据,绝不会为营销目的将其出售给其他企业。

提交
scw 成功图标
SCW 错误图标
要提交表单,请启用“Analytics”Cookie。完成后,您可随时将其关闭。
播放视频按钮。
播放视频按钮。

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Passwort in ein System einloggen kann, müssen keine fortgeschrittenen Techniken zur Bekämpfung der Netzwerkabwehr eingesetzt werden. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch, wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu erkennen, da die meisten Abwehrmechanismen ihn einfach als einen gültigen Benutzer oder Administrator ansehen, der seine Arbeit erledigt.

Die Kategorie der Authentifizierungsschwachstellen ist ziemlich umfangreich, aber wir werden auf die häufigsten Probleme eingehen, die dazu neigen, versehentlich in Benutzeranmeldeprozessen zu landen. Indem Sie diese Lücken schließen, können Sie die überwiegende Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Episode werden wir lernen:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken können verwendet werden, um Authentifizierungsschwachstellen zu beseitigen.

Wie nutzen Angreifer Sicherheitslücken bei der Authentifizierung aus?

Es gibt eine ganze Reihe von Authentifizierungsschwachstellen, die sich in ein Authentifizierungssystem einschleichen können, sodass Hacker jede ein bisschen anders ausnutzen. Lassen Sie uns zunächst die häufigsten Sicherheitslücken durchgehen und dann anhand von Beispielen zeigen, wie einige von ihnen ausgenutzt werden könnten.

Zu den häufigsten Sicherheitslücken bei der Authentifizierung gehören:

  • schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche ermöglichen,
  • Bereitstellung von Informationen an einen Angreifer bei fehlgeschlagenen Anmeldungen,
  • Anmeldeinformationen über unsichere Kanäle senden,
  • Schwaches Hashing von Passwörtern,
  • Und einen unsicheren Passwortwiederherstellungsprozess haben.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Sicherheitslücke. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, verwenden viel zu viele von ihnen leicht zu erratende Passwörter. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Passwörter, und „123456" und „Passwort“ sind immer unter den ersten fünf. Es gibt noch andere. Administratoren verwenden „Gott“ sehr gerne. Stimmt, die sind alle entweder humorvoll oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Passwörter und probieren sie zuerst aus, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Passwörtern in Ihrem Unternehmen zulässig ist, werden Sie irgendwann missbraucht.

Eine weniger offensichtliche, aber immer noch gefährliche Sicherheitslücke besteht darin, einem Benutzer Informationen über eine fehlgeschlagene Anmeldung zurückzugeben. Das ist schlimm, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, ermöglicht es Angreifern, gültige Benutzer auf einem System zu identifizieren und sich darauf zu konzentrieren, Passwörter nur für diese Benutzernamen zu erraten. In Kombination mit der Sicherheitslücke in der Authentifizierung, die ein unbegrenztes Erraten von Passwörtern ermöglicht, könnten Angreifer Wörterbuchangriffe gegen alle gültigen Benutzer ausführen, die sie gefunden haben, wodurch sie relativ schnell in ein System gelangen könnten, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Gehöftler, der dreifache Schlösser an seiner Haustür anbrachte, seine Fenster zugenagelte und mit vielen Waffen in Reichweite schlief. Am Morgen wurde er tot aufgefunden. Seine Angreifer haben ihn erwischt, weil er vergessen hat, die Hintertür abzuschließen. Sicherheitslücken bei der Authentifizierung sind sehr ähnlich. Es spielt wirklich keine Rolle, welche Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Expertenanalysten Sie einsetzen, wenn ein Angreifer mit einem gültigen Benutzernamen und Passwort in Ihr Netzwerk eindringen kann.

Einmal drinnen, gibt es nur sehr wenige Einschränkungen, was der Angreifer tun kann. Solange sie im Rahmen ihrer Benutzerberechtigungen handeln, die sehr umfangreich sein können, wenn sie ein Administratorkonto kompromittiert haben, ist die Wahrscheinlichkeit sehr gering, dass sie rechtzeitig gefasst werden, um ernsthafte Probleme zu vermeiden. Dies macht die Sicherheitslücken der Authentifizierungsklasse zu einer der gefährlichsten, die es auf jedem System gibt.

Beseitigung von Authentifizierungsschwachstellen

Eine der besten Möglichkeiten, Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, weltweit durchgesetzte Passwortrichtlinien. Benutzer, selbst Administratoren, sollten nicht nur daran gehindert werden, Passwörter wie „Passwort“ zu verwenden, sondern auch gezwungen werden, eine Komplexität hinzuzufügen, die es einem Angreifer unmöglich macht, einen Angriff nach Art eines Wörterbuches oder allgemeiner Ausdrücke durchzuführen. Sie können sich Ihre eigenen Regeln für die Passworterstellung ausdenken, je nachdem, wie wichtig das zu schützende System ist. Dadurch wird es für Angreifer viel schwieriger, Passwörter zu erraten oder Brute-Force-Angriffe durchzuführen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche einschränken, sodass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als dreimal eingegeben wird. Die Sperrung kann vorübergehend sein, da selbst eine Verzögerung von wenigen Minuten verhindert, dass automatische Wörterbuchangriffe fortgesetzt werden. Sie kann aber auch dauerhaft sein, sofern das Konto nicht von einem Administrator entsperrt wird. In beiden Fällen sollte das Sicherheitspersonal bei einer solchen Sperrung alarmiert werden, damit es die Situation überwachen kann.

Eine weitere gute Methode, um zu verhindern, dass Angreifer Informationen sammeln, besteht darin, eine generische Nachricht zu verfassen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Es sollte in beiden Fällen dasselbe sein, damit Hacker nicht wissen, ob sie abgelehnt wurden, weil ein Benutzer nicht existiert oder weil er das falsche Passwort hat.

Authentifizierungsschwachstellen gehören auf den meisten Systemen zu den häufigsten und gefährlichsten. Sie sind aber auch relativ einfach zu finden und zu beseitigen.

Weitere Informationen zu Sicherheitslücken bei der Authentifizierung

Für weitere Informationen können Sie sich die OWASP ansehen Spickzettel zur Authentifizierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.

Treten Sie ein und stellen Sie sich einer Authentifizierungsschwachstelle in der Secure Code Warrior-Plattform direkt entgegen: [Fangen Sie hier an]

观看网络研讨会
开始吧
了解更多

请点击下方链接下载该资源的PDF文件。

Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。

查看报告预约演示
下载PDF文件
查看资源
分享到:
领英品牌社交x 标志
想了解更多吗?

分享到:
领英品牌社交x 标志
作者
Jaap Karan Singh
2019年4月11日发布

Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。

分享到:
领英品牌社交x 标志

In diesem Blog werden wir eines der häufigsten Probleme behandeln, mit denen Unternehmen konfrontiert sind, die entweder Websites betreiben oder Mitarbeitern den Fernzugriff auf Computerressourcen ermöglichen — was so ziemlich jeder ist. Und ja, Sie haben wahrscheinlich vermutet, dass wir über Authentifizierung sprechen werden.

Wenn sich ein Hacker einfach als Administrator mit einem gültigen Benutzernamen und Passwort in ein System einloggen kann, müssen keine fortgeschrittenen Techniken zur Bekämpfung der Netzwerkabwehr eingesetzt werden. Das System öffnet einfach die Tür und lässt den Angreifer hinein. Schlimmer noch, wenn der Angreifer nichts allzu Ausgefallenes tut, ist es fast unmöglich, seine Anwesenheit zu erkennen, da die meisten Abwehrmechanismen ihn einfach als einen gültigen Benutzer oder Administrator ansehen, der seine Arbeit erledigt.

Die Kategorie der Authentifizierungsschwachstellen ist ziemlich umfangreich, aber wir werden auf die häufigsten Probleme eingehen, die dazu neigen, versehentlich in Benutzeranmeldeprozessen zu landen. Indem Sie diese Lücken schließen, können Sie die überwiegende Mehrheit der Authentifizierungsprobleme in Ihrem Unternehmen beseitigen.

In dieser Episode werden wir lernen:

  • Wie einige gängige Authentifizierungsschwachstellen ausgenutzt werden
  • Warum sie so gefährlich sind
  • Welche Richtlinien und Techniken können verwendet werden, um Authentifizierungsschwachstellen zu beseitigen.

Wie nutzen Angreifer Sicherheitslücken bei der Authentifizierung aus?

Es gibt eine ganze Reihe von Authentifizierungsschwachstellen, die sich in ein Authentifizierungssystem einschleichen können, sodass Hacker jede ein bisschen anders ausnutzen. Lassen Sie uns zunächst die häufigsten Sicherheitslücken durchgehen und dann anhand von Beispielen zeigen, wie einige von ihnen ausgenutzt werden könnten.

Zu den häufigsten Sicherheitslücken bei der Authentifizierung gehören:

  • schwache oder unzureichende Passwortrichtlinien haben,
  • Unbegrenzte Anmeldeversuche ermöglichen,
  • Bereitstellung von Informationen an einen Angreifer bei fehlgeschlagenen Anmeldungen,
  • Anmeldeinformationen über unsichere Kanäle senden,
  • Schwaches Hashing von Passwörtern,
  • Und einen unsicheren Passwortwiederherstellungsprozess haben.

Eine schwache Passwortrichtlinie ist wahrscheinlich die häufigste Sicherheitslücke. Wenn Benutzer Passwörter ohne Einschränkungen erstellen dürfen, verwenden viel zu viele von ihnen leicht zu erratende Passwörter. Jedes Jahr veröffentlichen verschiedene Computer-Nachrichtenorganisationen eine Liste der am häufigsten verwendeten Passwörter, und „123456" und „Passwort“ sind immer unter den ersten fünf. Es gibt noch andere. Administratoren verwenden „Gott“ sehr gerne. Stimmt, die sind alle entweder humorvoll oder leicht zu merken, aber auch sehr leicht zu erraten. Hacker kennen die gängigsten Passwörter und probieren sie zuerst aus, wenn sie versuchen, in ein System einzudringen. Wenn diese Art von Passwörtern in Ihrem Unternehmen zulässig ist, werden Sie irgendwann missbraucht.

Eine weniger offensichtliche, aber immer noch gefährliche Sicherheitslücke besteht darin, einem Benutzer Informationen über eine fehlgeschlagene Anmeldung zurückzugeben. Das ist schlimm, denn wenn Sie eine Meldung zurückgeben, wenn ein Benutzername nicht existiert, und eine andere, wenn ein Benutzername existiert, aber das Passwort falsch ist, ermöglicht es Angreifern, gültige Benutzer auf einem System zu identifizieren und sich darauf zu konzentrieren, Passwörter nur für diese Benutzernamen zu erraten. In Kombination mit der Sicherheitslücke in der Authentifizierung, die ein unbegrenztes Erraten von Passwörtern ermöglicht, könnten Angreifer Wörterbuchangriffe gegen alle gültigen Benutzer ausführen, die sie gefunden haben, wodurch sie relativ schnell in ein System gelangen könnten, wenn das Passwort leicht zu erraten ist.

Warum sind Authentifizierungsschwachstellen so gefährlich?

Es gibt eine klassische Geschichte aus dem amerikanischen Wilden Westen über einen paranoiden Gehöftler, der dreifache Schlösser an seiner Haustür anbrachte, seine Fenster zugenagelte und mit vielen Waffen in Reichweite schlief. Am Morgen wurde er tot aufgefunden. Seine Angreifer haben ihn erwischt, weil er vergessen hat, die Hintertür abzuschließen. Sicherheitslücken bei der Authentifizierung sind sehr ähnlich. Es spielt wirklich keine Rolle, welche Überwachungstools oder proaktiven Kontrollen Sie einsetzen oder wie viele Expertenanalysten Sie einsetzen, wenn ein Angreifer mit einem gültigen Benutzernamen und Passwort in Ihr Netzwerk eindringen kann.

Einmal drinnen, gibt es nur sehr wenige Einschränkungen, was der Angreifer tun kann. Solange sie im Rahmen ihrer Benutzerberechtigungen handeln, die sehr umfangreich sein können, wenn sie ein Administratorkonto kompromittiert haben, ist die Wahrscheinlichkeit sehr gering, dass sie rechtzeitig gefasst werden, um ernsthafte Probleme zu vermeiden. Dies macht die Sicherheitslücken der Authentifizierungsklasse zu einer der gefährlichsten, die es auf jedem System gibt.

Beseitigung von Authentifizierungsschwachstellen

Eine der besten Möglichkeiten, Authentifizierungsschwachstellen in einem Netzwerk zu beseitigen, sind gute, weltweit durchgesetzte Passwortrichtlinien. Benutzer, selbst Administratoren, sollten nicht nur daran gehindert werden, Passwörter wie „Passwort“ zu verwenden, sondern auch gezwungen werden, eine Komplexität hinzuzufügen, die es einem Angreifer unmöglich macht, einen Angriff nach Art eines Wörterbuches oder allgemeiner Ausdrücke durchzuführen. Sie können sich Ihre eigenen Regeln für die Passworterstellung ausdenken, je nachdem, wie wichtig das zu schützende System ist. Dadurch wird es für Angreifer viel schwieriger, Passwörter zu erraten oder Brute-Force-Angriffe durchzuführen.

Sie sollten auch die Anzahl der fehlgeschlagenen Anmeldeversuche einschränken, sodass der Benutzer gesperrt wird, wenn ein falsches Passwort mehr als dreimal eingegeben wird. Die Sperrung kann vorübergehend sein, da selbst eine Verzögerung von wenigen Minuten verhindert, dass automatische Wörterbuchangriffe fortgesetzt werden. Sie kann aber auch dauerhaft sein, sofern das Konto nicht von einem Administrator entsperrt wird. In beiden Fällen sollte das Sicherheitspersonal bei einer solchen Sperrung alarmiert werden, damit es die Situation überwachen kann.

Eine weitere gute Methode, um zu verhindern, dass Angreifer Informationen sammeln, besteht darin, eine generische Nachricht zu verfassen, wenn entweder ein falscher Benutzername oder ein falsches Passwort eingegeben wird. Es sollte in beiden Fällen dasselbe sein, damit Hacker nicht wissen, ob sie abgelehnt wurden, weil ein Benutzer nicht existiert oder weil er das falsche Passwort hat.

Authentifizierungsschwachstellen gehören auf den meisten Systemen zu den häufigsten und gefährlichsten. Sie sind aber auch relativ einfach zu finden und zu beseitigen.

Weitere Informationen zu Sicherheitslücken bei der Authentifizierung

Für weitere Informationen können Sie sich die OWASP ansehen Spickzettel zur Authentifizierung. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.

Treten Sie ein und stellen Sie sich einer Authentifizierungsschwachstelle in der Secure Code Warrior-Plattform direkt entgegen: [Fangen Sie hier an]

目录

下载PDF文件
查看资源
想了解更多吗?

Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。

了解更多

Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。

预约演示下载
分享到:
领英品牌社交x 标志
资源中心

入门资源

更多文章
小册子

Securecode培训的主题与内容

我们行业领先的内容持续更新,以适应不断变化的软件开发环境,同时兼顾您的角色需求。内容涵盖从人工智能到XQuery注入的广泛主题,面向各类角色提供支持——从架构师、工程师到产品经理和质量保证人员。欢迎通过主题和角色分类,探索我们内容目录的精选内容。

了解更多
2026年3月11日
Securecode培训的主题与内容
手册
客户案例

荷兰商会为大规模开发者驱动的安全性树立标杆

荷兰商会分享了如何通过基于角色的认证体系、信任评分基准以及共同承担安全责任的文化,将安全编码融入日常开发实践。

2026年1月6日
电子书

OWASP十大安全风险2025电子书

想征服OWASP十大漏洞?立即下载《OWASP十大漏洞防护指南:2025版》,让您的应用程序无懈可击。

2025年12月23日
网络研讨会

利用人工智能进行威胁建模:让每个开发人员都成为威胁建模者

离开时,您将能够更好地帮助开发人员将威胁建模理念和技术与他们已经在使用的人工智能工具相结合,从一开始就加强安全性、改善协作并构建更具弹性的软件。

2025 年 10 月 28 日
资源中心

入门资源

更多文章

赛博兽归来:击败BOSS KI任务现已开放

Cybermon 2025 击败老板现已全年开放,可在SCW平台使用。该方案采用先进的AI/LLM安全防护机制,致力于推动大规模安全人工智能开发进程。

了解更多
2026年3月5日
博客
博客

《网络弹性法》解读:对安全设计软件开发意味着什么

了解欧盟《网络弹性法案》(CRA) 的具体要求、适用对象,以及开发团队如何通过安全方法、漏洞预防和开发者能力建设来做好准备。

2026年2月24日
博客

启用器1:明确定义且可衡量的成功标准

启航者1开启我们十集系列《成功启航者》,展示如何将安全编码与降低风险、提升速度等业务成果相结合,从而实现长期项目成熟度。

2026年2月19日
博客

SCW迎来十一周年:一场关于适应性与持续改进的实时实践课

2025年对人工智能、网络安全以及SCW而言都是重要的一年。我正以沉稳的信心迎接2026年,这份乐观唯有辛勤付出终获回报才能孕育。 

2026年1月27日