Les vulnerabilitats relacionades amb l’autenticació, anteriorment conegudes com a Autenticació Deteriorada, s’han convertit en una preocupació significativa. Aquesta categoria ara inclou debilitats en els processos d’identificació. Les vulnerabilitats rellevants en aquest àmbit inclouen CWE-297, CWE-287 i CWE-384.
La correcta confirmació de la identitat de l’usuari, la gestió de l’autenticació i les sessions són crucials per protegir-se contra els atacs. Les aplicacions poden mostrar debilitats en l’autenticació si permeten:
- Atacs automatitzats com l’ompliment de credencials, on un atacant aprofita una llista de noms d’usuari i contrasenyes vàlides.
- Permetre atacs de força bruta o similars automatitzats.
- Permetre contrasenyes per defecte, febles o fàcilment deduïbles, com “Password1” o “admin/admin”.
- Utilitzar processos de recuperació de contrasenya o oblid de contrasenya inadequats que es basen en respostes insegures basades en el coneixement.
- Emmagatzemar contrasenyes en text clar, formats encriptats o amb hash feble (veure A02:2021-Fallos criptogràfics).
- No tenir o tenir mesures d’autenticació de múltiples factors ineficaces.
- Exposar identificadors de sessió a les URL.
- Reutilitzar identificadors de sessió després d’iniciar sessió amb èxit.
- No invalidar correctament els ID de sessió, provocant accés sense autenticar.
Per mitigar aquests riscos:
- Implementeu l’autenticació de múltiples factors sempre que sigui possible per prevenir atacs automatitzats i la reutilització de credencials.
- Eviteu implementar aplicacions amb credencials per defecte, especialment per als usuaris administradors.
- Imposar comprovacions de contrasenya contra contrasenyes febles comunes.
- Seguiu les polítiques de longitud, complexitat i rotació de contrasenyes segons les directrius del NIST 800-63b.
- Reforceu el registre, la recuperació de credencials i les vies API contra atacs d’enumeració de comptes.
- Restringeixeu els intents fallits d’inici de sessió, monitoritzant l’ompliment de credencials o els atacs de força bruta.
- Utilitzeu un gestor de sessió segur al servidor que generi identificadors de sessió aleatoris i eviti emmagatzemar-los a les URL. Invalida els identificadors després de tancar la sessió, períodes d’inactivitat o caducitat.
Exemples d’atac:
Ompliment de credencials: Si una aplicació no té protecció contra amenaces automatitzades, els atacants poden aprofitar-la com un oràcul de contrasenyes per verificar credencials.
Dependència excessiva de les contrasenyes: Utilitzar només contrasenyes com a factors d’autenticació porta a vulnerabilitats. Es recomana adoptar l’autenticació de múltiples factors i rebutjar les pràctiques obsoletes de rotació de contrasenyes.
Temps d’inactivitat de sessió incorrectes: Els temps d’inactivitat de sessió configurats incorrectament poden permetre que un atacant accedeixi a una aplicació després que l’usuari l’hagi abandonada, posant de relleu la necessitat de configuracions de temps d’inactivitat adequades.
Per reforçar encara més la seguretat de la vostra aplicació, us recomanem utilitzar serveis especialitzats com INFRA (www.infrascan.net) i check.website. Aquestes plataformes de confiança ofereixen avaluacions de seguretat exhaustives, identifiquen vulnerabilitats en els vostres processos d’autenticació i proporcionen orientació valuosa per millorar els mecanismes de defensa.