Los codificadores conquistan la seguridad: Share & Learn Series - Autenticación
En este blog cubriremos uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Si un pirata informático puede simplemente entrar en un sistema como administrador con un nombre de usuario y una contraseña válidos, entonces no hay necesidad de desplegar técnicas avanzadas para luchar contra las defensas de la red. El sistema simplemente abre la puerta y deja entrar al atacante. Peor aún, si el atacante no hace nada demasiado extravagante, su presencia es casi imposible de detectar ya que la mayoría de las defensas simplemente lo verán como un usuario o administrador válido haciendo su trabajo.
La categoría de vulnerabilidades de autenticación es bastante amplia, pero vamos a repasar los problemas más comunes que tienden a introducirse accidentalmente en los procesos de inicio de sesión de los usuarios. Si se refuerzan estos agujeros, se puede eliminar la gran mayoría de los problemas de autenticación de su organización.
En este episodio, aprenderemos:
- Cómo se explotan algunas vulnerabilidades de autenticación comunes
- Por qué son tan peligrosos
- Qué políticas y técnicas se pueden utilizar para eliminar las vulnerabilidades de autenticación.
¿Cómo aprovechan los atacantes las vulnerabilidades de autenticación?
Hay bastantes vulnerabilidades de autenticación que pueden colarse en un sistema de autenticación, por lo que los hackers explotan cada una de ellas de forma un poco diferente. En primer lugar, vamos a repasar las vulnerabilidades más comunes y, a continuación, daremos ejemplos que demuestran cómo se pueden explotar un par de ellas.
Las vulnerabilidades de autenticación más comunes incluyen:
- Tener políticas de contraseñas débiles o inadecuadas,
- Permitir un número ilimitado de intentos de inicio de sesión,
- Proporcionar información a un atacante sobre los inicios de sesión fallidos,
- Envío de credenciales a través de canales inseguros,
- Contraseñas con hash débil,
- Y tener un proceso de recuperación de contraseñas inseguro.
Tener una política de contraseñas débil es probablemente la vulnerabilidad más común. Si se permite a los usuarios crear contraseñas sin restricciones, demasiados de ellos utilizarán contraseñas fáciles de adivinar. Todos los años, varias organizaciones de noticias informáticas publican una lista de las contraseñas más utilizadas, y "123456" y "password" están siempre entre las cinco primeras. Hay otras. A los administradores les gusta mucho usar "Dios". Es cierto que todas ellas son graciosas o fáciles de recordar, pero también muy fáciles de adivinar. Los piratas informáticos saben cuáles son las contraseñas más comunes y las prueban primero cuando intentan entrar en un sistema. Si se permite ese tipo de contraseñas en su organización, acabará siendo violada.
Una vulnerabilidad menos obvia, pero igualmente peligrosa, es la de devolver información a un usuario sobre un inicio de sesión fallido. Esto es malo porque si devuelve un mensaje cuando un nombre de usuario no existe y otro cuando un nombre de usuario existe pero la contraseña es mala, permite a los atacantes mapear usuarios válidos en un sistema y concentrarse en adivinar contraseñas sólo para esos nombres de usuario. Si esto se combina con la vulnerabilidad de autenticación que permite adivinar contraseñas de forma ilimitada, permitiría a los atacantes ejecutar ataques de diccionario contra cualquier usuario válido que hayan encontrado, lo que podría hacerles entrar en un sistema con bastante rapidez si la contraseña es fácil de adivinar.
¿Por qué son tan peligrosas las vulnerabilidades de autenticación?
Hay una historia clásica del Viejo Oeste americano sobre un campesino paranoico que instaló tres cerraduras en su puerta principal, tapió sus ventanas y durmió con muchas armas al alcance de la mano. Por la mañana lo encontraron muerto. Sus atacantes llegaron hasta él porque se olvidó de cerrar la puerta trasera. Las vulnerabilidades de autenticación son muy parecidas. Realmente no importa qué tipo de herramientas de monitorización o controles proactivos tenga usted o cuántos analistas expertos emplee si un atacante puede utilizar un nombre de usuario y una contraseña válidos para entrar en su red.
Una vez dentro, hay muy pocas restricciones sobre lo que el atacante puede hacer. Siempre y cuando actúen dentro de sus permisos de usuario, que pueden ser bastante amplios si han comprometido una cuenta de administrador, hay muy pocas posibilidades de que sean atrapados a tiempo para evitar problemas graves. Esto hace que la clase de vulnerabilidades de autenticación sea una de las más peligrosas de tener en cualquier sistema.
Eliminación de las vulnerabilidades de autenticación
Una de las mejores formas de eliminar las vulnerabilidades de autenticación de una red es contar con buenas políticas de contraseñas aplicadas globalmente. No sólo se debe restringir a los usuarios, incluso a los administradores, el uso de contraseñas como "contraseña", sino que se les debe obligar a añadir un nivel de complejidad que haga inviable que un atacante aplique un ataque del tipo diccionario o frases comunes. Puedes establecer tus propias reglas para la creación de contraseñas en función de la importancia del sistema que se está protegiendo. Si lo haces, será mucho más difícil para los atacantes adivinar o forzar las contraseñas.
También deberías restringir el número de intentos fallidos de inicio de sesión, de modo que si se introduce una contraseña incorrecta más de, por ejemplo, tres veces, el usuario quede bloqueado. El bloqueo puede ser temporal, ya que incluso unos minutos de retraso impedirán que continúen los ataques automáticos de diccionario. O puede ser permanente, a menos que la cuenta sea desbloqueada por un administrador. En cualquier caso, el personal de seguridad debe ser alertado cada vez que se produzca un bloqueo de este tipo para que pueda controlar la situación.
Otra buena forma de evitar que los atacantes obtengan información es elaborar un mensaje genérico cada vez que se introduzca un nombre de usuario o una contraseña incorrecta. Debe ser el mismo para ambos casos para que los hackers no sepan si han sido rechazados porque un usuario no existe o por tener una contraseña incorrecta.
Las vulnerabilidades de autenticación están entre las más comunes y peligrosas en la mayoría de los sistemas. Pero también son bastante fáciles de encontrar y eliminar.
Más información sobre las vulnerabilidades de autenticación
Para más información, puedes echar un vistazo a la hoja de trucos de autenticación de OWASP. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Enfréntese a una vulnerabilidad de autenticación en la plataforma Secure Code Warrior : [Comienza aquí]
Vamos a tratar uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
En este blog cubriremos uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Si un pirata informático puede simplemente entrar en un sistema como administrador con un nombre de usuario y una contraseña válidos, entonces no hay necesidad de desplegar técnicas avanzadas para luchar contra las defensas de la red. El sistema simplemente abre la puerta y deja entrar al atacante. Peor aún, si el atacante no hace nada demasiado extravagante, su presencia es casi imposible de detectar ya que la mayoría de las defensas simplemente lo verán como un usuario o administrador válido haciendo su trabajo.
La categoría de vulnerabilidades de autenticación es bastante amplia, pero vamos a repasar los problemas más comunes que tienden a introducirse accidentalmente en los procesos de inicio de sesión de los usuarios. Si se refuerzan estos agujeros, se puede eliminar la gran mayoría de los problemas de autenticación de su organización.
En este episodio, aprenderemos:
- Cómo se explotan algunas vulnerabilidades de autenticación comunes
- Por qué son tan peligrosos
- Qué políticas y técnicas se pueden utilizar para eliminar las vulnerabilidades de autenticación.
¿Cómo aprovechan los atacantes las vulnerabilidades de autenticación?
Hay bastantes vulnerabilidades de autenticación que pueden colarse en un sistema de autenticación, por lo que los hackers explotan cada una de ellas de forma un poco diferente. En primer lugar, vamos a repasar las vulnerabilidades más comunes y, a continuación, daremos ejemplos que demuestran cómo se pueden explotar un par de ellas.
Las vulnerabilidades de autenticación más comunes incluyen:
- Tener políticas de contraseñas débiles o inadecuadas,
- Permitir un número ilimitado de intentos de inicio de sesión,
- Proporcionar información a un atacante sobre los inicios de sesión fallidos,
- Envío de credenciales a través de canales inseguros,
- Contraseñas con hash débil,
- Y tener un proceso de recuperación de contraseñas inseguro.
Tener una política de contraseñas débil es probablemente la vulnerabilidad más común. Si se permite a los usuarios crear contraseñas sin restricciones, demasiados de ellos utilizarán contraseñas fáciles de adivinar. Todos los años, varias organizaciones de noticias informáticas publican una lista de las contraseñas más utilizadas, y "123456" y "password" están siempre entre las cinco primeras. Hay otras. A los administradores les gusta mucho usar "Dios". Es cierto que todas ellas son graciosas o fáciles de recordar, pero también muy fáciles de adivinar. Los piratas informáticos saben cuáles son las contraseñas más comunes y las prueban primero cuando intentan entrar en un sistema. Si se permite ese tipo de contraseñas en su organización, acabará siendo violada.
Una vulnerabilidad menos obvia, pero igualmente peligrosa, es la de devolver información a un usuario sobre un inicio de sesión fallido. Esto es malo porque si devuelve un mensaje cuando un nombre de usuario no existe y otro cuando un nombre de usuario existe pero la contraseña es mala, permite a los atacantes mapear usuarios válidos en un sistema y concentrarse en adivinar contraseñas sólo para esos nombres de usuario. Si esto se combina con la vulnerabilidad de autenticación que permite adivinar contraseñas de forma ilimitada, permitiría a los atacantes ejecutar ataques de diccionario contra cualquier usuario válido que hayan encontrado, lo que podría hacerles entrar en un sistema con bastante rapidez si la contraseña es fácil de adivinar.
¿Por qué son tan peligrosas las vulnerabilidades de autenticación?
Hay una historia clásica del Viejo Oeste americano sobre un campesino paranoico que instaló tres cerraduras en su puerta principal, tapió sus ventanas y durmió con muchas armas al alcance de la mano. Por la mañana lo encontraron muerto. Sus atacantes llegaron hasta él porque se olvidó de cerrar la puerta trasera. Las vulnerabilidades de autenticación son muy parecidas. Realmente no importa qué tipo de herramientas de monitorización o controles proactivos tenga usted o cuántos analistas expertos emplee si un atacante puede utilizar un nombre de usuario y una contraseña válidos para entrar en su red.
Una vez dentro, hay muy pocas restricciones sobre lo que el atacante puede hacer. Siempre y cuando actúen dentro de sus permisos de usuario, que pueden ser bastante amplios si han comprometido una cuenta de administrador, hay muy pocas posibilidades de que sean atrapados a tiempo para evitar problemas graves. Esto hace que la clase de vulnerabilidades de autenticación sea una de las más peligrosas de tener en cualquier sistema.
Eliminación de las vulnerabilidades de autenticación
Una de las mejores formas de eliminar las vulnerabilidades de autenticación de una red es contar con buenas políticas de contraseñas aplicadas globalmente. No sólo se debe restringir a los usuarios, incluso a los administradores, el uso de contraseñas como "contraseña", sino que se les debe obligar a añadir un nivel de complejidad que haga inviable que un atacante aplique un ataque del tipo diccionario o frases comunes. Puedes establecer tus propias reglas para la creación de contraseñas en función de la importancia del sistema que se está protegiendo. Si lo haces, será mucho más difícil para los atacantes adivinar o forzar las contraseñas.
También deberías restringir el número de intentos fallidos de inicio de sesión, de modo que si se introduce una contraseña incorrecta más de, por ejemplo, tres veces, el usuario quede bloqueado. El bloqueo puede ser temporal, ya que incluso unos minutos de retraso impedirán que continúen los ataques automáticos de diccionario. O puede ser permanente, a menos que la cuenta sea desbloqueada por un administrador. En cualquier caso, el personal de seguridad debe ser alertado cada vez que se produzca un bloqueo de este tipo para que pueda controlar la situación.
Otra buena forma de evitar que los atacantes obtengan información es elaborar un mensaje genérico cada vez que se introduzca un nombre de usuario o una contraseña incorrecta. Debe ser el mismo para ambos casos para que los hackers no sepan si han sido rechazados porque un usuario no existe o por tener una contraseña incorrecta.
Las vulnerabilidades de autenticación están entre las más comunes y peligrosas en la mayoría de los sistemas. Pero también son bastante fáciles de encontrar y eliminar.
Más información sobre las vulnerabilidades de autenticación
Para más información, puedes echar un vistazo a la hoja de trucos de autenticación de OWASP. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Enfréntese a una vulnerabilidad de autenticación en la plataforma Secure Code Warrior : [Comienza aquí]
En este blog cubriremos uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Si un pirata informático puede simplemente entrar en un sistema como administrador con un nombre de usuario y una contraseña válidos, entonces no hay necesidad de desplegar técnicas avanzadas para luchar contra las defensas de la red. El sistema simplemente abre la puerta y deja entrar al atacante. Peor aún, si el atacante no hace nada demasiado extravagante, su presencia es casi imposible de detectar ya que la mayoría de las defensas simplemente lo verán como un usuario o administrador válido haciendo su trabajo.
La categoría de vulnerabilidades de autenticación es bastante amplia, pero vamos a repasar los problemas más comunes que tienden a introducirse accidentalmente en los procesos de inicio de sesión de los usuarios. Si se refuerzan estos agujeros, se puede eliminar la gran mayoría de los problemas de autenticación de su organización.
En este episodio, aprenderemos:
- Cómo se explotan algunas vulnerabilidades de autenticación comunes
- Por qué son tan peligrosos
- Qué políticas y técnicas se pueden utilizar para eliminar las vulnerabilidades de autenticación.
¿Cómo aprovechan los atacantes las vulnerabilidades de autenticación?
Hay bastantes vulnerabilidades de autenticación que pueden colarse en un sistema de autenticación, por lo que los hackers explotan cada una de ellas de forma un poco diferente. En primer lugar, vamos a repasar las vulnerabilidades más comunes y, a continuación, daremos ejemplos que demuestran cómo se pueden explotar un par de ellas.
Las vulnerabilidades de autenticación más comunes incluyen:
- Tener políticas de contraseñas débiles o inadecuadas,
- Permitir un número ilimitado de intentos de inicio de sesión,
- Proporcionar información a un atacante sobre los inicios de sesión fallidos,
- Envío de credenciales a través de canales inseguros,
- Contraseñas con hash débil,
- Y tener un proceso de recuperación de contraseñas inseguro.
Tener una política de contraseñas débil es probablemente la vulnerabilidad más común. Si se permite a los usuarios crear contraseñas sin restricciones, demasiados de ellos utilizarán contraseñas fáciles de adivinar. Todos los años, varias organizaciones de noticias informáticas publican una lista de las contraseñas más utilizadas, y "123456" y "password" están siempre entre las cinco primeras. Hay otras. A los administradores les gusta mucho usar "Dios". Es cierto que todas ellas son graciosas o fáciles de recordar, pero también muy fáciles de adivinar. Los piratas informáticos saben cuáles son las contraseñas más comunes y las prueban primero cuando intentan entrar en un sistema. Si se permite ese tipo de contraseñas en su organización, acabará siendo violada.
Una vulnerabilidad menos obvia, pero igualmente peligrosa, es la de devolver información a un usuario sobre un inicio de sesión fallido. Esto es malo porque si devuelve un mensaje cuando un nombre de usuario no existe y otro cuando un nombre de usuario existe pero la contraseña es mala, permite a los atacantes mapear usuarios válidos en un sistema y concentrarse en adivinar contraseñas sólo para esos nombres de usuario. Si esto se combina con la vulnerabilidad de autenticación que permite adivinar contraseñas de forma ilimitada, permitiría a los atacantes ejecutar ataques de diccionario contra cualquier usuario válido que hayan encontrado, lo que podría hacerles entrar en un sistema con bastante rapidez si la contraseña es fácil de adivinar.
¿Por qué son tan peligrosas las vulnerabilidades de autenticación?
Hay una historia clásica del Viejo Oeste americano sobre un campesino paranoico que instaló tres cerraduras en su puerta principal, tapió sus ventanas y durmió con muchas armas al alcance de la mano. Por la mañana lo encontraron muerto. Sus atacantes llegaron hasta él porque se olvidó de cerrar la puerta trasera. Las vulnerabilidades de autenticación son muy parecidas. Realmente no importa qué tipo de herramientas de monitorización o controles proactivos tenga usted o cuántos analistas expertos emplee si un atacante puede utilizar un nombre de usuario y una contraseña válidos para entrar en su red.
Una vez dentro, hay muy pocas restricciones sobre lo que el atacante puede hacer. Siempre y cuando actúen dentro de sus permisos de usuario, que pueden ser bastante amplios si han comprometido una cuenta de administrador, hay muy pocas posibilidades de que sean atrapados a tiempo para evitar problemas graves. Esto hace que la clase de vulnerabilidades de autenticación sea una de las más peligrosas de tener en cualquier sistema.
Eliminación de las vulnerabilidades de autenticación
Una de las mejores formas de eliminar las vulnerabilidades de autenticación de una red es contar con buenas políticas de contraseñas aplicadas globalmente. No sólo se debe restringir a los usuarios, incluso a los administradores, el uso de contraseñas como "contraseña", sino que se les debe obligar a añadir un nivel de complejidad que haga inviable que un atacante aplique un ataque del tipo diccionario o frases comunes. Puedes establecer tus propias reglas para la creación de contraseñas en función de la importancia del sistema que se está protegiendo. Si lo haces, será mucho más difícil para los atacantes adivinar o forzar las contraseñas.
También deberías restringir el número de intentos fallidos de inicio de sesión, de modo que si se introduce una contraseña incorrecta más de, por ejemplo, tres veces, el usuario quede bloqueado. El bloqueo puede ser temporal, ya que incluso unos minutos de retraso impedirán que continúen los ataques automáticos de diccionario. O puede ser permanente, a menos que la cuenta sea desbloqueada por un administrador. En cualquier caso, el personal de seguridad debe ser alertado cada vez que se produzca un bloqueo de este tipo para que pueda controlar la situación.
Otra buena forma de evitar que los atacantes obtengan información es elaborar un mensaje genérico cada vez que se introduzca un nombre de usuario o una contraseña incorrecta. Debe ser el mismo para ambos casos para que los hackers no sepan si han sido rechazados porque un usuario no existe o por tener una contraseña incorrecta.
Las vulnerabilidades de autenticación están entre las más comunes y peligrosas en la mayoría de los sistemas. Pero también son bastante fáciles de encontrar y eliminar.
Más información sobre las vulnerabilidades de autenticación
Para más información, puedes echar un vistazo a la hoja de trucos de autenticación de OWASP. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Enfréntese a una vulnerabilidad de autenticación en la plataforma Secure Code Warrior : [Comienza aquí]
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
En este blog cubriremos uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Si un pirata informático puede simplemente entrar en un sistema como administrador con un nombre de usuario y una contraseña válidos, entonces no hay necesidad de desplegar técnicas avanzadas para luchar contra las defensas de la red. El sistema simplemente abre la puerta y deja entrar al atacante. Peor aún, si el atacante no hace nada demasiado extravagante, su presencia es casi imposible de detectar ya que la mayoría de las defensas simplemente lo verán como un usuario o administrador válido haciendo su trabajo.
La categoría de vulnerabilidades de autenticación es bastante amplia, pero vamos a repasar los problemas más comunes que tienden a introducirse accidentalmente en los procesos de inicio de sesión de los usuarios. Si se refuerzan estos agujeros, se puede eliminar la gran mayoría de los problemas de autenticación de su organización.
En este episodio, aprenderemos:
- Cómo se explotan algunas vulnerabilidades de autenticación comunes
- Por qué son tan peligrosos
- Qué políticas y técnicas se pueden utilizar para eliminar las vulnerabilidades de autenticación.
¿Cómo aprovechan los atacantes las vulnerabilidades de autenticación?
Hay bastantes vulnerabilidades de autenticación que pueden colarse en un sistema de autenticación, por lo que los hackers explotan cada una de ellas de forma un poco diferente. En primer lugar, vamos a repasar las vulnerabilidades más comunes y, a continuación, daremos ejemplos que demuestran cómo se pueden explotar un par de ellas.
Las vulnerabilidades de autenticación más comunes incluyen:
- Tener políticas de contraseñas débiles o inadecuadas,
- Permitir un número ilimitado de intentos de inicio de sesión,
- Proporcionar información a un atacante sobre los inicios de sesión fallidos,
- Envío de credenciales a través de canales inseguros,
- Contraseñas con hash débil,
- Y tener un proceso de recuperación de contraseñas inseguro.
Tener una política de contraseñas débil es probablemente la vulnerabilidad más común. Si se permite a los usuarios crear contraseñas sin restricciones, demasiados de ellos utilizarán contraseñas fáciles de adivinar. Todos los años, varias organizaciones de noticias informáticas publican una lista de las contraseñas más utilizadas, y "123456" y "password" están siempre entre las cinco primeras. Hay otras. A los administradores les gusta mucho usar "Dios". Es cierto que todas ellas son graciosas o fáciles de recordar, pero también muy fáciles de adivinar. Los piratas informáticos saben cuáles son las contraseñas más comunes y las prueban primero cuando intentan entrar en un sistema. Si se permite ese tipo de contraseñas en su organización, acabará siendo violada.
Una vulnerabilidad menos obvia, pero igualmente peligrosa, es la de devolver información a un usuario sobre un inicio de sesión fallido. Esto es malo porque si devuelve un mensaje cuando un nombre de usuario no existe y otro cuando un nombre de usuario existe pero la contraseña es mala, permite a los atacantes mapear usuarios válidos en un sistema y concentrarse en adivinar contraseñas sólo para esos nombres de usuario. Si esto se combina con la vulnerabilidad de autenticación que permite adivinar contraseñas de forma ilimitada, permitiría a los atacantes ejecutar ataques de diccionario contra cualquier usuario válido que hayan encontrado, lo que podría hacerles entrar en un sistema con bastante rapidez si la contraseña es fácil de adivinar.
¿Por qué son tan peligrosas las vulnerabilidades de autenticación?
Hay una historia clásica del Viejo Oeste americano sobre un campesino paranoico que instaló tres cerraduras en su puerta principal, tapió sus ventanas y durmió con muchas armas al alcance de la mano. Por la mañana lo encontraron muerto. Sus atacantes llegaron hasta él porque se olvidó de cerrar la puerta trasera. Las vulnerabilidades de autenticación son muy parecidas. Realmente no importa qué tipo de herramientas de monitorización o controles proactivos tenga usted o cuántos analistas expertos emplee si un atacante puede utilizar un nombre de usuario y una contraseña válidos para entrar en su red.
Una vez dentro, hay muy pocas restricciones sobre lo que el atacante puede hacer. Siempre y cuando actúen dentro de sus permisos de usuario, que pueden ser bastante amplios si han comprometido una cuenta de administrador, hay muy pocas posibilidades de que sean atrapados a tiempo para evitar problemas graves. Esto hace que la clase de vulnerabilidades de autenticación sea una de las más peligrosas de tener en cualquier sistema.
Eliminación de las vulnerabilidades de autenticación
Una de las mejores formas de eliminar las vulnerabilidades de autenticación de una red es contar con buenas políticas de contraseñas aplicadas globalmente. No sólo se debe restringir a los usuarios, incluso a los administradores, el uso de contraseñas como "contraseña", sino que se les debe obligar a añadir un nivel de complejidad que haga inviable que un atacante aplique un ataque del tipo diccionario o frases comunes. Puedes establecer tus propias reglas para la creación de contraseñas en función de la importancia del sistema que se está protegiendo. Si lo haces, será mucho más difícil para los atacantes adivinar o forzar las contraseñas.
También deberías restringir el número de intentos fallidos de inicio de sesión, de modo que si se introduce una contraseña incorrecta más de, por ejemplo, tres veces, el usuario quede bloqueado. El bloqueo puede ser temporal, ya que incluso unos minutos de retraso impedirán que continúen los ataques automáticos de diccionario. O puede ser permanente, a menos que la cuenta sea desbloqueada por un administrador. En cualquier caso, el personal de seguridad debe ser alertado cada vez que se produzca un bloqueo de este tipo para que pueda controlar la situación.
Otra buena forma de evitar que los atacantes obtengan información es elaborar un mensaje genérico cada vez que se introduzca un nombre de usuario o una contraseña incorrecta. Debe ser el mismo para ambos casos para que los hackers no sepan si han sido rechazados porque un usuario no existe o por tener una contraseña incorrecta.
Las vulnerabilidades de autenticación están entre las más comunes y peligrosas en la mayoría de los sistemas. Pero también son bastante fáciles de encontrar y eliminar.
Más información sobre las vulnerabilidades de autenticación
Para más información, puedes echar un vistazo a la hoja de trucos de autenticación de OWASP. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Enfréntese a una vulnerabilidad de autenticación en la plataforma Secure Code Warrior : [Comienza aquí]
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
