Слабая процедура восстановления пароля (Weak Password Recovery Validation) возникает, когда веб-сайт позволяет злоумышленнику незаконно получить, изменить или восстановить пароль другого пользователя.
Общепринятые методы аутентификации на веб-сайте требуют от пользователя выбрать и запомнить пароль или идентификационную фразу. Пользователем должна быть только персона, которая знает пароль и его нужно обязательно помнить. Проходит время, и пользователь пароль начинает забываться. Дело осложняется, когда в среднем пользователь посещает 20 сайтов, требующих применение пароля. Таким образом, Восстановление Пароля является важной частью в он-лайн обслуживании пользователей.
Примеры процессов автоматического восстановления пароля включают требование к пользователю ответить на «секретный вопрос», заданный пользователем при регистрации. Этот вопрос может быть выбран из списка возможных вопросов или предложен пользователем. Так же, иногда используется механизм подсказок в момент регистрации, который помогает пользователю запомнить его пароль. Другой механизм требует от пользователя представить некоторые персональные данные, такие, как номер их социальной карты, домашний адрес, почтовый индекс и т.д., чтобы проверить подлинность пользователя (идентифицировать его). После того, как пользователь доказывает, кто он такой, система восстановления пароля отображает или отсылает на e-mail новый пароль.
Считается, что веб-сайт имеет «Слабую процедуру восстановления пароля», если злоумышленник в состоянии нарушить процедуру механизма восстановления. Это происходит, когда информация необходимая для проверки подлинности пользователя при восстановлении может быть или легко отгадана, или вообще обойдена. Система восстановления пароля может быть с дискредитирована при применении атак грубой силы, благодаря наличию слабых мест в системе, или при наличии легко предполагаемых секретных вопросов.
Примеры «Слабых методов восстановления пароля»
Многие веб-сайты требуют от пользователя предоставить их e-mail в сочетании с их домашним адресом и телефонным номером. Эта информация может быть легко получена из некоторых открытых он-лайн источников. В результате, проверяемые данные не являются большим секретом. Более того, информация может быть дискредитирована другими методами, такими как Фишинг и Межсайтовое программирование.
Веб-сайты, использующие подсказки для напоминания пользователю его пароля могут подвергнуться нападению, поскольку подсказки хорошо «помогают» атакам грубой силы. Пользователь может иметь довольно хороший пароль «111280King» с соответствующей подсказкой пароля «д.рожд.+люб.автор». Злоумышленник может собрать из этой подсказки, что пароль пользователя является комбинацией даты рождения пользователя и имени его любимого автора. Это помогает значительно сузить словарь для атаки Грубой Силы на пароль пользователя.
Секретный ответ пользователя может быть «Москва» с секретным вопросом «Где вы родились». Злоумышленник может ограничить секретные ответы при атаке Грубой Силы до названий городов. К тому же, если злоумышленнику кое-что известно о пользователе-жертве, то эти знания, например места рождения пользователя, могут так же облегчить задачу взлома.
Нет комментариев