image

Wachtwoord kwijt functie prooi voor hackers

dinsdag 21 maart 2006, 11:15 door Redactie, 1 reacties

De "wachtwoord kwijt" functie die veel websites hebben voor gebruikers die hun wachtwoord zijn vergeten, zorgt ervoor dat de sites kwetsbaar zijn voor aanvallen. De login procedure van veel commerciele websites kan via "brute force" en enumeratie aanvallen gekraakt worden, zo waarschuwt het Engelse SecureTest. In Engeland zou de helft van alle e-commerce sites hierdoor risico lopen.

Het probleem begint met de antwoorden die applicaties geven als er ongeldige gebruikersnamen gegeven worden. Vult een aanvaller bij de "wachtwoord vergeten" pagina de gebruikersnaam in, dan geven sommige applicaties de melding dat het wachtwoord verstuurd is. Via een script kan een aanvaller allerlei gebruikersnamen vinden. Een tijdrovend proces, maar wel degelijk een risico.

Met een lijst van gebruikersnamen kan de aanvaller een soortgelijke aanval uitvoeren om het e-mailadres te achterhalen. "We testen dagelijks web applicaties en hebben ontdekt dat enumeratie aanvallen mogelijk zijn. Dit probleem is niet alleen beperkt tot webshops. De meeste websites met een "vergeten wachtwoord" functie zijn kwetsbaar" zegt directeur Ken Munro.

Sommige webshops hebben een "lock out" functie geimplementeerd die een account na een aantal foute login pogingen bevriest. Dit lijkt een goed idee, maar kan nare gevolgen hebben als aanvallers verkeerde wachtwoorden voor geldige accounts invoeren, waardoor de klanten van de webshop geen toegang meer hebben.

Als oplossing geeft men de volgende tips:

  • Gebruik een "time out" feature, dit vertraagt brute force aanvallen
  • Gebruik geen permanente "lock-out" feature
  • Gebruik generieke foutmeldingen
  • Overweeg een tweede authenticatie factor
  • Log HTTP POST requests van het login formulier
  • Inspecteer de logs op mogelijke aanvallen op bepaalde accounts
  • Reacties (1)
    21-03-2006, 16:47 door Anoniem
    Tja, mongolen die webpagina's beveiligen als "wat is uw kleur ogen?"...
    Duh.... na een keer of 7 gokken heb je vast wel bingo. Die verdienen het
    dan ook om gebot te worden.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.