Weak Password Recovery Validation (Слабая процедура восстановления пароля)

Слабая процедура восстановления пароля (Weak Password Recovery Validation) возникает, когда веб-сайт позволяет злоумышленнику незаконно получить, изменить или восстановить пароль другого пользователя.

Общепринятые методы аутентификации на веб-сайте требуют от пользователя выбрать и запомнить пароль или идентификационную фразу. Пользователем должна быть только персона, которая знает пароль и его нужно обязательно помнить. Проходит время, и пользователь пароль начинает забываться. Дело осложняется, когда в среднем пользователь посещает 20 сайтов, требующих применение пароля. Таким образом, Восстановление Пароля является важной частью в он-лайн обслуживании пользователей.

Примеры процессов автоматического восстановления пароля включают требование к пользователю ответить на “секретный вопрос”, заданный пользователем при регистрации. Этот вопрос может быть выбран из списка возможных вопросов или предложен пользователем. Так же, иногда используется механизм подсказок в момент регистрации, который помогает пользователю запомнить его пароль. Другой механизм требует от пользователя представить некоторые персональные данные, такие, как номер их социальной карты, домашний адрес, почтовый индекс и т.д., чтобы проверить подлинность пользователя (идентифицировать его). После того, как пользователь доказывает, кто он такой, система восстановления пароля отображает или отсылает на e-mail новый пароль.

Считается, что веб-сайт имеет “Слабую процедуру восстановления пароля”, если злоумышленник в состоянии нарушить процедуру механизма восстановления. Это происходит, когда информация необходимая для проверки подлинности пользователя при восстановлении может быть или легко отгадана, или вообще обойдена. Система восстановления пароля может быть с дискредитирована при применении атак грубой силы, благодаря наличию слабых мест в системе, или при наличии легко предполагаемых секретных вопросов.

Примеры “Слабых методов восстановления пароля”
Проверка данных

Многие веб-сайты требуют от пользователя предоставить их e-mail в сочетании с их домашним адресом и телефонным номером. Эта информация может быть легко получена из некоторых открытых он-лайн источников. В результате, проверяемые данные не являются большим секретом. Более того, информация может быть дискредитирована другими методами, такими как Фишинг и Межсайтовое программирование.

Подсказки пароля

Веб-сайты, использующие подсказки для напоминания пользователю его пароля могут подвергнуться нападению, поскольку подсказки хорошо “помогают” атакам грубой силы. Пользователь может иметь довольно хороший пароль “111280King” с соответствующей подсказкой пароля “д.рожд.+люб.автор”. Злоумышленник может собрать из этой подсказки, что пароль пользователя является комбинацией даты рождения пользователя и имени его любимого автора. Это помогает значительно сузить словарь для атаки Грубой Силы на пароль пользователя.

Секретный Вопрос и Ответ

Секретный ответ пользователя может быть “Москва” с секретным вопросом “Где вы родились”. Злоумышленник может ограничить секретные ответы при атаке Грубой Силы до названий городов. К тому же, если злоумышленнику кое-что известно о пользователе-жертве, то эти знания, например места рождения пользователя, могут так же облегчить задачу взлома.

Оставить комментарий

Можно использовать теги: <a href="" rel="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>