القراء مثلك يساعدون في دعم MUO. عند إجراء عملية شراء باستخدام الروابط الموجودة على موقعنا ، فقد نربح عمولة تابعة. اقرأ أكثر.

يمثل المتسللون تهديدًا كبيرًا لكل من الشركات والأفراد. من المفترض أن تبقيهم المصادقة خارج المناطق الآمنة ، لكنها لا تعمل دائمًا.

لدى مجرمي الإنترنت مجموعة من الحيل التي يمكن استخدامها لانتحال شخصية مستخدمين شرعيين. هذا يسمح لهم بالوصول إلى المعلومات الخاصة التي ليس من المفترض أن يصلوا إليها. يمكن بعد ذلك استخدامها أو بيعها.

غالبًا ما يكون المتسللون قادرين على الوصول إلى المناطق الآمنة بسبب ثغرات المصادقة المعطلة. إذن ما هي نقاط الضعف هذه ، وكيف يمكنك منعها؟

ما هي ثغرات المصادقة المعطلة؟

ثغرة المصادقة المعطلة هي أي ثغرة تسمح للمهاجم بانتحال شخصية مستخدم شرعي.

عادةً ما يقوم المستخدم الشرعي بتسجيل الدخول باستخدام إما كلمة مرور أو معرف جلسة. معرف الجلسة هو شيء موجود على جهاز الكمبيوتر الخاص بالمستخدم يشير إلى أنه قد قام بتسجيل الدخول مسبقًا. عندما تتصفح الإنترنت ولا يُطلب منك تسجيل الدخول إلى أحد حساباتك ، فذلك لأن مزود الحساب قد وجد معرف الجلسة الخاص بك.

معظم نقاط الضعف في المصادقة المعطلة هي مشاكل تتعلق بكيفية معالجة معرّفات الجلسات أو كلمات المرور. من أجل منع الهجمات ، تحتاج إلى النظر في كيفية استخدام المتسلل لأحد هذه العناصر ، ثم تعديل النظام لجعل القيام بذلك أمرًا صعبًا قدر الإمكان.

instagram viewer

كيف يتم الحصول على معرفات الجلسة؟

اعتمادًا على كيفية تصميم النظام ، يمكن الحصول على معرّفات الجلسة بعدة طرق مختلفة. بمجرد قبول معرف الجلسة ، يمكن للمتسلل الوصول إلى أي جزء من النظام يمكن لمستخدم شرعي الوصول إليه.

اختطاف الجلسة

اختطاف الجلسة هو فعل سرقة معرف جلسة. يحدث هذا غالبًا بسبب ارتكاب المستخدم لخطأ والتسبب في أن يكون معرف الجلسة متاحًا بسهولة لشخص آخر.

إذا كان المستخدم يستخدم شبكة Wi-Fi غير آمنة ، فلن يتم تشفير البيانات التي تنتقل من وإلى أجهزة الكمبيوتر الخاصة به. قد يتمكن المخترق بعد ذلك من اعتراض معرف الجلسة حيث يتم إرساله من النظام إلى المستخدم.

الخيار الأسهل بكثير هو إذا كان المستخدم يستخدم جهاز كمبيوتر عام ونسي تسجيل الخروج. في هذا السيناريو ، يظل معرف الجلسة موجودًا على الكمبيوتر ويمكن لأي شخص الوصول إليه.

إعادة كتابة عنوان URL لمعرف الجلسة

تم تصميم بعض الأنظمة بحيث يتم تخزين معرفات الجلسات في عنوان URL. بعد تسجيل الدخول إلى مثل هذا النظام ، يتم توجيه المستخدم إلى عنوان URL فريد. يمكن للمستخدم بعد ذلك الوصول إلى النظام مرة أخرى من خلال زيارة نفس الصفحة.

هذا يمثل مشكلة لأن أي شخص لديه حق الوصول إلى عنوان URL الخاص بمستخدم ما يمكنه انتحال شخصية هذا المستخدم. قد يحدث هذا إذا كان المستخدم يستخدم شبكة Wi-Fi غير آمنة أو إذا شارك عنوان URL الفريد الخاص به مع شخص آخر. غالبًا ما تتم مشاركة عناوين URL عبر الإنترنت وليس من غير المألوف أن يشارك المستخدمون معرّفات الجلسات دون علمهم.

كيف يتم الحصول على كلمات المرور؟

يمكن سرقة كلمات المرور أو تخمينها بعدة طرق مختلفة سواء بمساعدة المستخدم أو بدونها. يمكن أتمتة العديد من هذه التقنيات ، مما يسمح للقراصنة بمحاولة اختراق آلاف كلمات المرور في إجراء واحد.

رش كلمة المرور

يتضمن رش كلمة المرور تجربة كلمات مرور ضعيفة بشكل مجمّع. تم تصميم العديد من الأنظمة لحظر دخول المستخدمين بعد عدة محاولات غير صحيحة.

يعمل رش كلمة المرور على حل هذه المشكلة من خلال محاولة استخدام كلمات مرور ضعيفة على مئات الحسابات بدلاً من محاولة استهداف حساب فردي. يسمح هذا للمهاجم بمحاولة استخدام كلمات المرور بشكل مجمّع دون تنبيه النظام.

حشو الاعتمادات

حشو بيانات الاعتماد هو عملية استخدام كلمات المرور المسروقة لمحاولة الوصول إلى الحسابات الخاصة بكميات كبيرة. كلمات المرور المسروقة متاحة على نطاق واسع على الإنترنت. عندما يتم اختراق موقع ويب ، يمكن سرقة تفاصيل المستخدم ، وغالبًا ما يعيد المخترق بيعها.

يتضمن حشو بيانات الاعتماد شراء تفاصيل المستخدم هذه ثم تجربتها على مواقع الويب بشكل مجمّع. نظرًا لإعادة استخدام كلمات المرور غالبًا ، يمكن استخدام اسم مستخدم واحد وكلمة مرور واحدة لتسجيل الدخول إلى حسابات متعددة.

التصيد

بريد إلكتروني للتصيد هو بريد إلكتروني يبدو شرعيًا ولكنه مصمم بالفعل لسرقة كلمات مرور الأشخاص والتفاصيل الخاصة الأخرى. في رسالة بريد إلكتروني للتصيد الاحتيالي ، يُطلب من المستخدم زيارة صفحة ويب وتسجيل الدخول إلى حساب يمتلكه. ومع ذلك ، فإن صفحة الويب المقدمة ضارة ويتم سرقة أي معلومات يتم إدخالها على الفور.

كيفية تحسين إدارة الجلسة

تعتمد قدرة المخترق على انتحال شخصية مستخدم باستخدام معرفات الجلسة على كيفية تصميم النظام.

لا تقم بتخزين معرفات الجلسات في عناوين URL

يجب عدم تخزين معرفات الجلسات في عناوين URL. تعد ملفات تعريف الارتباط مثالية لمعرفات الجلسات ويصعب على المهاجم الوصول إليها.

تنفيذ عمليات تسجيل الخروج التلقائية

يجب تسجيل خروج المستخدمين من حساباتهم بعد قدر معين من عدم النشاط. بمجرد التنفيذ ، لا يمكن استخدام معرف جلسة مسروق.

تدوير معرفات الجلسة

يجب استبدال معرفات الجلسات بانتظام حتى بدون مطالبة المستخدم بتسجيل الخروج. يعمل هذا كبديل لعمليات تسجيل الخروج التلقائية ويمنع سيناريو حيث يمكن للمهاجم استخدام معرف جلسة مسروق طالما كان المستخدم يفعل ذلك.

كيفية تحسين سياسات كلمة المرور

يجب على جميع المناطق الخاصة تتطلب كلمات مرور قوية ويجب أن يُطلب من المستخدمين تقديم مصادقة إضافية.

تطبيق قواعد كلمة المرور

يجب أن يتضمن أي نظام يقبل كلمات المرور قواعد تتعلق بكلمات المرور المقبولة. يجب أن يُطلب من المستخدمين تقديم كلمة مرور ذات حد أدنى للطول ومزيج من الأحرف.

جعل المصادقة الثنائية إلزامية

تُسرق كلمات المرور بسهولة ، وأفضل طريقة لمنع المتسللين من استخدامها هي تنفيذ المصادقة ذات العاملين. لا يتطلب هذا من المستخدم إدخال كلمة المرور الخاصة به فحسب ، بل يتطلب أيضًا تقديم معلومة أخرى ، يتم تخزينها عادةً على أجهزتهم فقط.

بمجرد التنفيذ ، لن يتمكن المتسلل من الوصول إلى الحساب ، حتى لو كانوا يعرفون كلمة المرور.

تمثل ثغرات المصادقة المعطلة تهديدًا كبيرًا

تعد نقاط الضعف في المصادقة المعطلة مشكلة كبيرة في أي نظام يقوم بتخزين المعلومات الخاصة. إنها تسمح للقراصنة بانتحال صفة المستخدمين الشرعيين والوصول إلى أي منطقة متاحة لهم.

تشير المصادقة غير الصالحة عادةً إلى المشكلات المتعلقة بكيفية إدارة الجلسات أو كيفية استخدام كلمات المرور. من خلال فهم كيفية محاولة المتسللين الوصول إلى النظام ، من الممكن جعل القيام بذلك أمرًا صعبًا قدر الإمكان.

يجب تصميم الأنظمة بحيث لا يمكن الوصول إلى معرّفات الجلسات بسهولة ولا تعمل لفترة أطول من اللازم. يجب أيضًا عدم الاعتماد على كلمات المرور باعتبارها الوسيلة الوحيدة لمصادقة المستخدم.