Los codificadores conquistan la seguridad: Share & Learn Series - Autenticación
En este blog cubriremos uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Si un pirata informático puede simplemente entrar en un sistema como administrador con un nombre de usuario y una contraseña válidos, entonces no hay necesidad de desplegar técnicas avanzadas para luchar contra las defensas de la red. El sistema simplemente abre la puerta y deja entrar al atacante. Peor aún, si el atacante no hace nada demasiado extravagante, su presencia es casi imposible de detectar ya que la mayoría de las defensas simplemente lo verán como un usuario o administrador válido haciendo su trabajo.
La categoría de vulnerabilidades de autenticación es bastante amplia, pero vamos a repasar los problemas más comunes que tienden a introducirse accidentalmente en los procesos de inicio de sesión de los usuarios. Si se refuerzan estos agujeros, se puede eliminar la gran mayoría de los problemas de autenticación de su organización.
En este episodio, aprenderemos:
- Cómo se explotan algunas vulnerabilidades de autenticación comunes
- Por qué son tan peligrosos
- Qué políticas y técnicas se pueden utilizar para eliminar las vulnerabilidades de autenticación.
¿Cómo aprovechan los atacantes las vulnerabilidades de autenticación?
Hay bastantes vulnerabilidades de autenticación que pueden colarse en un sistema de autenticación, por lo que los hackers explotan cada una de ellas de forma un poco diferente. En primer lugar, vamos a repasar las vulnerabilidades más comunes y, a continuación, daremos ejemplos que demuestran cómo se pueden explotar un par de ellas.
Las vulnerabilidades de autenticación más comunes incluyen:
- Tener políticas de contraseñas débiles o inadecuadas,
- Permitir un número ilimitado de intentos de inicio de sesión,
- Proporcionar información a un atacante sobre los inicios de sesión fallidos,
- Envío de credenciales a través de canales inseguros,
- Contraseñas con hash débil,
- Y tener un proceso de recuperación de contraseñas inseguro.
Tener una política de contraseñas débil es probablemente la vulnerabilidad más común. Si se permite a los usuarios crear contraseñas sin restricciones, demasiados de ellos utilizarán contraseñas fáciles de adivinar. Todos los años, varias organizaciones de noticias informáticas publican una lista de las contraseñas más utilizadas, y "123456" y "password" están siempre entre las cinco primeras. Hay otras. A los administradores les gusta mucho usar "Dios". Es cierto que todas ellas son graciosas o fáciles de recordar, pero también muy fáciles de adivinar. Los piratas informáticos saben cuáles son las contraseñas más comunes y las prueban primero cuando intentan entrar en un sistema. Si se permite ese tipo de contraseñas en su organización, acabará siendo violada.
Una vulnerabilidad menos obvia, pero igualmente peligrosa, es la de devolver información a un usuario sobre un inicio de sesión fallido. Esto es malo porque si devuelve un mensaje cuando un nombre de usuario no existe y otro cuando un nombre de usuario existe pero la contraseña es mala, permite a los atacantes mapear usuarios válidos en un sistema y concentrarse en adivinar contraseñas sólo para esos nombres de usuario. Si esto se combina con la vulnerabilidad de autenticación que permite adivinar contraseñas de forma ilimitada, permitiría a los atacantes ejecutar ataques de diccionario contra cualquier usuario válido que hayan encontrado, lo que podría hacerles entrar en un sistema con bastante rapidez si la contraseña es fácil de adivinar.
¿Por qué son tan peligrosas las vulnerabilidades de autenticación?
Hay una historia clásica del Viejo Oeste americano sobre un campesino paranoico que instaló tres cerraduras en su puerta principal, tapió sus ventanas y durmió con muchas armas al alcance de la mano. Por la mañana lo encontraron muerto. Sus atacantes llegaron hasta él porque se olvidó de cerrar la puerta trasera. Las vulnerabilidades de autenticación son muy parecidas. Realmente no importa qué tipo de herramientas de monitorización o controles proactivos tenga usted o cuántos analistas expertos emplee si un atacante puede utilizar un nombre de usuario y una contraseña válidos para entrar en su red.
Una vez dentro, hay muy pocas restricciones sobre lo que el atacante puede hacer. Siempre y cuando actúen dentro de sus permisos de usuario, que pueden ser bastante amplios si han comprometido una cuenta de administrador, hay muy pocas posibilidades de que sean atrapados a tiempo para evitar problemas graves. Esto hace que la clase de vulnerabilidades de autenticación sea una de las más peligrosas de tener en cualquier sistema.
Eliminación de las vulnerabilidades de autenticación
Una de las mejores formas de eliminar las vulnerabilidades de autenticación de una red es contar con buenas políticas de contraseñas aplicadas globalmente. No sólo se debe restringir a los usuarios, incluso a los administradores, el uso de contraseñas como "contraseña", sino que se les debe obligar a añadir un nivel de complejidad que haga inviable que un atacante aplique un ataque del tipo diccionario o frases comunes. Puedes establecer tus propias reglas para la creación de contraseñas en función de la importancia del sistema que se está protegiendo. Si lo haces, será mucho más difícil para los atacantes adivinar o forzar las contraseñas.
También deberías restringir el número de intentos fallidos de inicio de sesión, de modo que si se introduce una contraseña incorrecta más de, por ejemplo, tres veces, el usuario quede bloqueado. El bloqueo puede ser temporal, ya que incluso unos minutos de retraso impedirán que continúen los ataques automáticos de diccionario. O puede ser permanente, a menos que la cuenta sea desbloqueada por un administrador. En cualquier caso, el personal de seguridad debe ser alertado cada vez que se produzca un bloqueo de este tipo para que pueda controlar la situación.
Otra buena forma de evitar que los atacantes obtengan información es elaborar un mensaje genérico cada vez que se introduzca un nombre de usuario o una contraseña incorrecta. Debe ser el mismo para ambos casos para que los hackers no sepan si han sido rechazados porque un usuario no existe o por tener una contraseña incorrecta.
Las vulnerabilidades de autenticación están entre las más comunes y peligrosas en la mayoría de los sistemas. Pero también son bastante fáciles de encontrar y eliminar.
Más información sobre las vulnerabilidades de autenticación
Para más información, puedes echar un vistazo a la hoja de trucos de autenticación de OWASP. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Enfréntese a una vulnerabilidad de autenticación en la plataforma Secure Code Warrior : [Comienza aquí]
Vamos a tratar uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
En este blog cubriremos uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Si un pirata informático puede simplemente entrar en un sistema como administrador con un nombre de usuario y una contraseña válidos, entonces no hay necesidad de desplegar técnicas avanzadas para luchar contra las defensas de la red. El sistema simplemente abre la puerta y deja entrar al atacante. Peor aún, si el atacante no hace nada demasiado extravagante, su presencia es casi imposible de detectar ya que la mayoría de las defensas simplemente lo verán como un usuario o administrador válido haciendo su trabajo.
La categoría de vulnerabilidades de autenticación es bastante amplia, pero vamos a repasar los problemas más comunes que tienden a introducirse accidentalmente en los procesos de inicio de sesión de los usuarios. Si se refuerzan estos agujeros, se puede eliminar la gran mayoría de los problemas de autenticación de su organización.
En este episodio, aprenderemos:
- Cómo se explotan algunas vulnerabilidades de autenticación comunes
- Por qué son tan peligrosos
- Qué políticas y técnicas se pueden utilizar para eliminar las vulnerabilidades de autenticación.
¿Cómo aprovechan los atacantes las vulnerabilidades de autenticación?
Hay bastantes vulnerabilidades de autenticación que pueden colarse en un sistema de autenticación, por lo que los hackers explotan cada una de ellas de forma un poco diferente. En primer lugar, vamos a repasar las vulnerabilidades más comunes y, a continuación, daremos ejemplos que demuestran cómo se pueden explotar un par de ellas.
Las vulnerabilidades de autenticación más comunes incluyen:
- Tener políticas de contraseñas débiles o inadecuadas,
- Permitir un número ilimitado de intentos de inicio de sesión,
- Proporcionar información a un atacante sobre los inicios de sesión fallidos,
- Envío de credenciales a través de canales inseguros,
- Contraseñas con hash débil,
- Y tener un proceso de recuperación de contraseñas inseguro.
Tener una política de contraseñas débil es probablemente la vulnerabilidad más común. Si se permite a los usuarios crear contraseñas sin restricciones, demasiados de ellos utilizarán contraseñas fáciles de adivinar. Todos los años, varias organizaciones de noticias informáticas publican una lista de las contraseñas más utilizadas, y "123456" y "password" están siempre entre las cinco primeras. Hay otras. A los administradores les gusta mucho usar "Dios". Es cierto que todas ellas son graciosas o fáciles de recordar, pero también muy fáciles de adivinar. Los piratas informáticos saben cuáles son las contraseñas más comunes y las prueban primero cuando intentan entrar en un sistema. Si se permite ese tipo de contraseñas en su organización, acabará siendo violada.
Una vulnerabilidad menos obvia, pero igualmente peligrosa, es la de devolver información a un usuario sobre un inicio de sesión fallido. Esto es malo porque si devuelve un mensaje cuando un nombre de usuario no existe y otro cuando un nombre de usuario existe pero la contraseña es mala, permite a los atacantes mapear usuarios válidos en un sistema y concentrarse en adivinar contraseñas sólo para esos nombres de usuario. Si esto se combina con la vulnerabilidad de autenticación que permite adivinar contraseñas de forma ilimitada, permitiría a los atacantes ejecutar ataques de diccionario contra cualquier usuario válido que hayan encontrado, lo que podría hacerles entrar en un sistema con bastante rapidez si la contraseña es fácil de adivinar.
¿Por qué son tan peligrosas las vulnerabilidades de autenticación?
Hay una historia clásica del Viejo Oeste americano sobre un campesino paranoico que instaló tres cerraduras en su puerta principal, tapió sus ventanas y durmió con muchas armas al alcance de la mano. Por la mañana lo encontraron muerto. Sus atacantes llegaron hasta él porque se olvidó de cerrar la puerta trasera. Las vulnerabilidades de autenticación son muy parecidas. Realmente no importa qué tipo de herramientas de monitorización o controles proactivos tenga usted o cuántos analistas expertos emplee si un atacante puede utilizar un nombre de usuario y una contraseña válidos para entrar en su red.
Una vez dentro, hay muy pocas restricciones sobre lo que el atacante puede hacer. Siempre y cuando actúen dentro de sus permisos de usuario, que pueden ser bastante amplios si han comprometido una cuenta de administrador, hay muy pocas posibilidades de que sean atrapados a tiempo para evitar problemas graves. Esto hace que la clase de vulnerabilidades de autenticación sea una de las más peligrosas de tener en cualquier sistema.
Eliminación de las vulnerabilidades de autenticación
Una de las mejores formas de eliminar las vulnerabilidades de autenticación de una red es contar con buenas políticas de contraseñas aplicadas globalmente. No sólo se debe restringir a los usuarios, incluso a los administradores, el uso de contraseñas como "contraseña", sino que se les debe obligar a añadir un nivel de complejidad que haga inviable que un atacante aplique un ataque del tipo diccionario o frases comunes. Puedes establecer tus propias reglas para la creación de contraseñas en función de la importancia del sistema que se está protegiendo. Si lo haces, será mucho más difícil para los atacantes adivinar o forzar las contraseñas.
También deberías restringir el número de intentos fallidos de inicio de sesión, de modo que si se introduce una contraseña incorrecta más de, por ejemplo, tres veces, el usuario quede bloqueado. El bloqueo puede ser temporal, ya que incluso unos minutos de retraso impedirán que continúen los ataques automáticos de diccionario. O puede ser permanente, a menos que la cuenta sea desbloqueada por un administrador. En cualquier caso, el personal de seguridad debe ser alertado cada vez que se produzca un bloqueo de este tipo para que pueda controlar la situación.
Otra buena forma de evitar que los atacantes obtengan información es elaborar un mensaje genérico cada vez que se introduzca un nombre de usuario o una contraseña incorrecta. Debe ser el mismo para ambos casos para que los hackers no sepan si han sido rechazados porque un usuario no existe o por tener una contraseña incorrecta.
Las vulnerabilidades de autenticación están entre las más comunes y peligrosas en la mayoría de los sistemas. Pero también son bastante fáciles de encontrar y eliminar.
Más información sobre las vulnerabilidades de autenticación
Para más información, puedes echar un vistazo a la hoja de trucos de autenticación de OWASP. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Enfréntese a una vulnerabilidad de autenticación en la plataforma Secure Code Warrior : [Comienza aquí]
En este blog cubriremos uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Si un pirata informático puede simplemente entrar en un sistema como administrador con un nombre de usuario y una contraseña válidos, entonces no hay necesidad de desplegar técnicas avanzadas para luchar contra las defensas de la red. El sistema simplemente abre la puerta y deja entrar al atacante. Peor aún, si el atacante no hace nada demasiado extravagante, su presencia es casi imposible de detectar ya que la mayoría de las defensas simplemente lo verán como un usuario o administrador válido haciendo su trabajo.
La categoría de vulnerabilidades de autenticación es bastante amplia, pero vamos a repasar los problemas más comunes que tienden a introducirse accidentalmente en los procesos de inicio de sesión de los usuarios. Si se refuerzan estos agujeros, se puede eliminar la gran mayoría de los problemas de autenticación de su organización.
En este episodio, aprenderemos:
- Cómo se explotan algunas vulnerabilidades de autenticación comunes
- Por qué son tan peligrosos
- Qué políticas y técnicas se pueden utilizar para eliminar las vulnerabilidades de autenticación.
¿Cómo aprovechan los atacantes las vulnerabilidades de autenticación?
Hay bastantes vulnerabilidades de autenticación que pueden colarse en un sistema de autenticación, por lo que los hackers explotan cada una de ellas de forma un poco diferente. En primer lugar, vamos a repasar las vulnerabilidades más comunes y, a continuación, daremos ejemplos que demuestran cómo se pueden explotar un par de ellas.
Las vulnerabilidades de autenticación más comunes incluyen:
- Tener políticas de contraseñas débiles o inadecuadas,
- Permitir un número ilimitado de intentos de inicio de sesión,
- Proporcionar información a un atacante sobre los inicios de sesión fallidos,
- Envío de credenciales a través de canales inseguros,
- Contraseñas con hash débil,
- Y tener un proceso de recuperación de contraseñas inseguro.
Tener una política de contraseñas débil es probablemente la vulnerabilidad más común. Si se permite a los usuarios crear contraseñas sin restricciones, demasiados de ellos utilizarán contraseñas fáciles de adivinar. Todos los años, varias organizaciones de noticias informáticas publican una lista de las contraseñas más utilizadas, y "123456" y "password" están siempre entre las cinco primeras. Hay otras. A los administradores les gusta mucho usar "Dios". Es cierto que todas ellas son graciosas o fáciles de recordar, pero también muy fáciles de adivinar. Los piratas informáticos saben cuáles son las contraseñas más comunes y las prueban primero cuando intentan entrar en un sistema. Si se permite ese tipo de contraseñas en su organización, acabará siendo violada.
Una vulnerabilidad menos obvia, pero igualmente peligrosa, es la de devolver información a un usuario sobre un inicio de sesión fallido. Esto es malo porque si devuelve un mensaje cuando un nombre de usuario no existe y otro cuando un nombre de usuario existe pero la contraseña es mala, permite a los atacantes mapear usuarios válidos en un sistema y concentrarse en adivinar contraseñas sólo para esos nombres de usuario. Si esto se combina con la vulnerabilidad de autenticación que permite adivinar contraseñas de forma ilimitada, permitiría a los atacantes ejecutar ataques de diccionario contra cualquier usuario válido que hayan encontrado, lo que podría hacerles entrar en un sistema con bastante rapidez si la contraseña es fácil de adivinar.
¿Por qué son tan peligrosas las vulnerabilidades de autenticación?
Hay una historia clásica del Viejo Oeste americano sobre un campesino paranoico que instaló tres cerraduras en su puerta principal, tapió sus ventanas y durmió con muchas armas al alcance de la mano. Por la mañana lo encontraron muerto. Sus atacantes llegaron hasta él porque se olvidó de cerrar la puerta trasera. Las vulnerabilidades de autenticación son muy parecidas. Realmente no importa qué tipo de herramientas de monitorización o controles proactivos tenga usted o cuántos analistas expertos emplee si un atacante puede utilizar un nombre de usuario y una contraseña válidos para entrar en su red.
Una vez dentro, hay muy pocas restricciones sobre lo que el atacante puede hacer. Siempre y cuando actúen dentro de sus permisos de usuario, que pueden ser bastante amplios si han comprometido una cuenta de administrador, hay muy pocas posibilidades de que sean atrapados a tiempo para evitar problemas graves. Esto hace que la clase de vulnerabilidades de autenticación sea una de las más peligrosas de tener en cualquier sistema.
Eliminación de las vulnerabilidades de autenticación
Una de las mejores formas de eliminar las vulnerabilidades de autenticación de una red es contar con buenas políticas de contraseñas aplicadas globalmente. No sólo se debe restringir a los usuarios, incluso a los administradores, el uso de contraseñas como "contraseña", sino que se les debe obligar a añadir un nivel de complejidad que haga inviable que un atacante aplique un ataque del tipo diccionario o frases comunes. Puedes establecer tus propias reglas para la creación de contraseñas en función de la importancia del sistema que se está protegiendo. Si lo haces, será mucho más difícil para los atacantes adivinar o forzar las contraseñas.
También deberías restringir el número de intentos fallidos de inicio de sesión, de modo que si se introduce una contraseña incorrecta más de, por ejemplo, tres veces, el usuario quede bloqueado. El bloqueo puede ser temporal, ya que incluso unos minutos de retraso impedirán que continúen los ataques automáticos de diccionario. O puede ser permanente, a menos que la cuenta sea desbloqueada por un administrador. En cualquier caso, el personal de seguridad debe ser alertado cada vez que se produzca un bloqueo de este tipo para que pueda controlar la situación.
Otra buena forma de evitar que los atacantes obtengan información es elaborar un mensaje genérico cada vez que se introduzca un nombre de usuario o una contraseña incorrecta. Debe ser el mismo para ambos casos para que los hackers no sepan si han sido rechazados porque un usuario no existe o por tener una contraseña incorrecta.
Las vulnerabilidades de autenticación están entre las más comunes y peligrosas en la mayoría de los sistemas. Pero también son bastante fáciles de encontrar y eliminar.
Más información sobre las vulnerabilidades de autenticación
Para más información, puedes echar un vistazo a la hoja de trucos de autenticación de OWASP. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Enfréntese a una vulnerabilidad de autenticación en la plataforma Secure Code Warrior : [Comienza aquí]
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
En este blog cubriremos uno de los problemas más comunes a los que se enfrentan las organizaciones que gestionan sitios web, o que permiten a los empleados acceder de forma remota a los recursos informáticos - que es prácticamente todo el mundo. Y sí, probablemente has adivinado que vamos a hablar de la autenticación.
Si un pirata informático puede simplemente entrar en un sistema como administrador con un nombre de usuario y una contraseña válidos, entonces no hay necesidad de desplegar técnicas avanzadas para luchar contra las defensas de la red. El sistema simplemente abre la puerta y deja entrar al atacante. Peor aún, si el atacante no hace nada demasiado extravagante, su presencia es casi imposible de detectar ya que la mayoría de las defensas simplemente lo verán como un usuario o administrador válido haciendo su trabajo.
La categoría de vulnerabilidades de autenticación es bastante amplia, pero vamos a repasar los problemas más comunes que tienden a introducirse accidentalmente en los procesos de inicio de sesión de los usuarios. Si se refuerzan estos agujeros, se puede eliminar la gran mayoría de los problemas de autenticación de su organización.
En este episodio, aprenderemos:
- Cómo se explotan algunas vulnerabilidades de autenticación comunes
- Por qué son tan peligrosos
- Qué políticas y técnicas se pueden utilizar para eliminar las vulnerabilidades de autenticación.
¿Cómo aprovechan los atacantes las vulnerabilidades de autenticación?
Hay bastantes vulnerabilidades de autenticación que pueden colarse en un sistema de autenticación, por lo que los hackers explotan cada una de ellas de forma un poco diferente. En primer lugar, vamos a repasar las vulnerabilidades más comunes y, a continuación, daremos ejemplos que demuestran cómo se pueden explotar un par de ellas.
Las vulnerabilidades de autenticación más comunes incluyen:
- Tener políticas de contraseñas débiles o inadecuadas,
- Permitir un número ilimitado de intentos de inicio de sesión,
- Proporcionar información a un atacante sobre los inicios de sesión fallidos,
- Envío de credenciales a través de canales inseguros,
- Contraseñas con hash débil,
- Y tener un proceso de recuperación de contraseñas inseguro.
Tener una política de contraseñas débil es probablemente la vulnerabilidad más común. Si se permite a los usuarios crear contraseñas sin restricciones, demasiados de ellos utilizarán contraseñas fáciles de adivinar. Todos los años, varias organizaciones de noticias informáticas publican una lista de las contraseñas más utilizadas, y "123456" y "password" están siempre entre las cinco primeras. Hay otras. A los administradores les gusta mucho usar "Dios". Es cierto que todas ellas son graciosas o fáciles de recordar, pero también muy fáciles de adivinar. Los piratas informáticos saben cuáles son las contraseñas más comunes y las prueban primero cuando intentan entrar en un sistema. Si se permite ese tipo de contraseñas en su organización, acabará siendo violada.
Una vulnerabilidad menos obvia, pero igualmente peligrosa, es la de devolver información a un usuario sobre un inicio de sesión fallido. Esto es malo porque si devuelve un mensaje cuando un nombre de usuario no existe y otro cuando un nombre de usuario existe pero la contraseña es mala, permite a los atacantes mapear usuarios válidos en un sistema y concentrarse en adivinar contraseñas sólo para esos nombres de usuario. Si esto se combina con la vulnerabilidad de autenticación que permite adivinar contraseñas de forma ilimitada, permitiría a los atacantes ejecutar ataques de diccionario contra cualquier usuario válido que hayan encontrado, lo que podría hacerles entrar en un sistema con bastante rapidez si la contraseña es fácil de adivinar.
¿Por qué son tan peligrosas las vulnerabilidades de autenticación?
Hay una historia clásica del Viejo Oeste americano sobre un campesino paranoico que instaló tres cerraduras en su puerta principal, tapió sus ventanas y durmió con muchas armas al alcance de la mano. Por la mañana lo encontraron muerto. Sus atacantes llegaron hasta él porque se olvidó de cerrar la puerta trasera. Las vulnerabilidades de autenticación son muy parecidas. Realmente no importa qué tipo de herramientas de monitorización o controles proactivos tenga usted o cuántos analistas expertos emplee si un atacante puede utilizar un nombre de usuario y una contraseña válidos para entrar en su red.
Una vez dentro, hay muy pocas restricciones sobre lo que el atacante puede hacer. Siempre y cuando actúen dentro de sus permisos de usuario, que pueden ser bastante amplios si han comprometido una cuenta de administrador, hay muy pocas posibilidades de que sean atrapados a tiempo para evitar problemas graves. Esto hace que la clase de vulnerabilidades de autenticación sea una de las más peligrosas de tener en cualquier sistema.
Eliminación de las vulnerabilidades de autenticación
Una de las mejores formas de eliminar las vulnerabilidades de autenticación de una red es contar con buenas políticas de contraseñas aplicadas globalmente. No sólo se debe restringir a los usuarios, incluso a los administradores, el uso de contraseñas como "contraseña", sino que se les debe obligar a añadir un nivel de complejidad que haga inviable que un atacante aplique un ataque del tipo diccionario o frases comunes. Puedes establecer tus propias reglas para la creación de contraseñas en función de la importancia del sistema que se está protegiendo. Si lo haces, será mucho más difícil para los atacantes adivinar o forzar las contraseñas.
También deberías restringir el número de intentos fallidos de inicio de sesión, de modo que si se introduce una contraseña incorrecta más de, por ejemplo, tres veces, el usuario quede bloqueado. El bloqueo puede ser temporal, ya que incluso unos minutos de retraso impedirán que continúen los ataques automáticos de diccionario. O puede ser permanente, a menos que la cuenta sea desbloqueada por un administrador. En cualquier caso, el personal de seguridad debe ser alertado cada vez que se produzca un bloqueo de este tipo para que pueda controlar la situación.
Otra buena forma de evitar que los atacantes obtengan información es elaborar un mensaje genérico cada vez que se introduzca un nombre de usuario o una contraseña incorrecta. Debe ser el mismo para ambos casos para que los hackers no sepan si han sido rechazados porque un usuario no existe o por tener una contraseña incorrecta.
Las vulnerabilidades de autenticación están entre las más comunes y peligrosas en la mayoría de los sistemas. Pero también son bastante fáciles de encontrar y eliminar.
Más información sobre las vulnerabilidades de autenticación
Para más información, puedes echar un vistazo a la hoja de trucos de autenticación de OWASP. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Enfréntese a una vulnerabilidad de autenticación en la plataforma Secure Code Warrior : [Comienza aquí]
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica
Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
