信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“嘶吼專(zhuān)業(yè)版”，作者/布加迪。

引言

隨著網(wǎng)絡(luò)威脅的數(shù)量不斷增加，了解學(xué)習(xí)可能會(huì)危及到客戶在線身份的常見(jiàn)身份驗(yàn)證漏洞就顯得格外重要。如果需要在網(wǎng)上滿足客戶的需求，并使用傳統(tǒng)的身份驗(yàn)證機(jī)制時(shí)，就要對(duì)身份驗(yàn)證漏洞保持警惕。

只有了解了這些漏洞，才可以更有效地保護(hù)自己、客戶和在線資產(chǎn)遠(yuǎn)離網(wǎng)絡(luò)攻擊。

了解身份驗(yàn)證漏洞：它們?nèi)绾纬霈F(xiàn)并構(gòu)成威脅？

網(wǎng)絡(luò)安全中的身份驗(yàn)證漏洞是指用于驗(yàn)證用戶或系統(tǒng)身份的流程和機(jī)制中存在的弱點(diǎn)和缺陷。這些漏洞可能因種種原因而出現(xiàn)，通常源于技術(shù)、人類(lèi)行為或兩者兼而有之。

導(dǎo)致身份驗(yàn)證漏洞的一個(gè)主要因素是技術(shù)的快速發(fā)展。隨著新的軟件、協(xié)議和身份驗(yàn)證方法層出不窮，網(wǎng)絡(luò)犯罪分子不斷利用這些系統(tǒng)中的潛在漏洞。過(guò)時(shí)或配置不正確的身份驗(yàn)證協(xié)議很容易成為攻擊目標(biāo)，允許攻擊者獲得未經(jīng)授權(quán)的訪問(wèn)。

人類(lèi)行為對(duì)于身份驗(yàn)證漏洞的出現(xiàn)也起到了重要作用，因?yàn)橛脩舫３８粗胤奖愣皇前踩?，?huì)選擇弱密碼或在多個(gè)平臺(tái)上重復(fù)使用同一弱密碼。而且，安全身份驗(yàn)證實(shí)踐方面如果缺乏意識(shí)可能會(huì)導(dǎo)致錯(cuò)誤的選擇，從而使黑客更容易闖入帳戶。

此外，數(shù)字平臺(tái)和服務(wù)具有的互連特性放大了身份驗(yàn)證漏洞造成的影響。一個(gè)系統(tǒng)中招可能會(huì)導(dǎo)致多米諾骨牌效應(yīng)，危及多個(gè)帳戶和敏感數(shù)據(jù)。網(wǎng)絡(luò)犯罪分子經(jīng)常利用這種互連特性來(lái)發(fā)動(dòng)攻擊（比如撞庫(kù)），即從一個(gè)服務(wù)中竊取的憑據(jù)被用來(lái)滲入其他帳戶，利用用戶行為的共性大做文章。

1.網(wǎng)絡(luò)釣魚(yú)攻擊

網(wǎng)絡(luò)釣魚(yú)攻擊是指，通過(guò)偽裝成值得信賴(lài)的組織或企業(yè)，欺騙用戶泄露其敏感信息。用戶應(yīng)當(dāng)小心那些要求你提供登錄憑據(jù)的未經(jīng)請(qǐng)求的電子郵件或消息，在點(diǎn)擊鏈接或透露個(gè)人信息之前，一定要核實(shí)發(fā)件人的真實(shí)性。

2.撞庫(kù)攻擊

當(dāng)網(wǎng)絡(luò)犯罪分子使用從一個(gè)平臺(tái)竊取而來(lái)的用戶名和密碼，訪問(wèn)不同網(wǎng)站上的多個(gè)帳戶時(shí)，就會(huì)發(fā)生撞庫(kù)攻擊（即憑據(jù)填充）。為了避免淪為受害者，盡量不要在不同平臺(tái)上使用相同的登錄憑據(jù)，應(yīng)當(dāng)考慮使用密碼管理器，為每個(gè)帳戶生成和存儲(chǔ)一個(gè)獨(dú)特的密碼。

3.弱密碼

最常見(jiàn)的身份驗(yàn)證漏洞之一是弱密碼。為每個(gè)帳戶創(chuàng)建獨(dú)特的強(qiáng)密碼對(duì)于降低這種風(fēng)險(xiǎn)至關(guān)重要，企業(yè)必須鼓勵(lì)客戶使用強(qiáng)密碼。此外，公司應(yīng)該考慮依賴(lài)安全的密碼存儲(chǔ)機(jī)制來(lái)確保最高級(jí)別的安全性。

4.不安全的身份驗(yàn)證協(xié)議

過(guò)時(shí)或不安全的身份驗(yàn)證協(xié)議可能使在線帳戶易受攻擊。始終使用安全、最新的身份驗(yàn)證方法，比如OAuth 2.0或OpenID Connect，可以有效保護(hù)用戶的信息免受潛在的泄露。

5.蠻力攻擊

蠻力攻擊是指系統(tǒng)性地嘗試所有可能的密碼組合，直至找到正確的密碼。為了防止這種情況，在登錄失敗的次數(shù)達(dá)到一定數(shù)量后，實(shí)施帳戶鎖定策略和CAPTCHA質(zhì)問(wèn)機(jī)制。此外，可以使用多因素身份驗(yàn)證（MFA），以添加另外一層安全。

6.會(huì)話劫持

當(dāng)攻擊者攔截并竊取用戶的會(huì)話標(biāo)識(shí)符時(shí)，就會(huì)發(fā)生會(huì)話劫持或會(huì)話竊取。為了防止這種情況，網(wǎng)站應(yīng)該實(shí)施安全的通信通道（比如HTTPS），并使用安全的、隨機(jī)生成的會(huì)話令牌。

7.缺少多因素身份驗(yàn)證（MFA）

缺少M(fèi)FA是許多用戶忽略的一個(gè)重大漏洞。MFA要求用戶在訪問(wèn)其帳戶之前需提供多個(gè)驗(yàn)證表單，從而增加額外的安全層。如果啟用MFA，可以大大加強(qiáng)帳戶防范未經(jīng)授權(quán)訪問(wèn)的能力。

結(jié)論

忽視身份驗(yàn)證漏洞極大可能會(huì)導(dǎo)致財(cái)務(wù)虧損和聲譽(yù)受損，我們應(yīng)該保持警惕，并積極主動(dòng)地解決這些常見(jiàn)的身份驗(yàn)證漏洞，這是保護(hù)在線資產(chǎn)的關(guān)鍵。