Press "Enter" to skip to content

OWASP WSTG: Testování slabé politiky hesel (WSTG-ATHN-07)

Published 20/10/2024 by Oxford

Níže nabízím překlad z Home > Stable > 4-Web Application Security Testing > 04-Authentication Testing > Testing for Weak Password Policy.

Shrnutí

Nejběžnějším a nejsnadněji spravovaným autentizačním mechanismem je statické heslo. Heslo představuje klíč ke království, ale často je uživateli obcházeno ve jménu použitelnosti. U každého z nedávných známých hacků, které odhalily uživatelské přihlašovací údaje, bylo zjištěno, že nejčastější hesla jsou stále: 123456, password a qwerty.

Cíle testu

  • Určit odolnost aplikace vůči útokům hrubou silou pomocí hádání hesel z dostupných slovníků tím, že se vyhodnotí délka, složitost, opakované použití a časové omezení platnosti hesel.

Jak testovat

  1. Jaké znaky jsou povoleny a zakázány pro použití v hesle? Je uživatel povinen používat znaky z různých znakových sad, jako jsou malá a velká písmena, číslice a speciální symboly?
  2. Jak často může uživatel změnit své heslo? Jak rychle může uživatel změnit své heslo po předchozí změně? Uživatelé mohou obejít požadavky na historii hesel tím, že změní své heslo 5krát po sobě, takže po poslední změně hesla mají opět své původní heslo.
  3. Kdy musí uživatel změnit své heslo?
    • NIST i NCSC doporučují nevyžadovat pravidelnou expiraci hesla, ačkoli to může být vyžadováno standardy, jako je PCI DSS.
  4. Jak často může uživatel znovu použít heslo? Uchovává aplikace historii uživatelem použitých 8 hesel?
  5. Jak odlišné musí být nové heslo od posledního hesla?
  6. Je uživateli zabráněno používat jeho uživatelské jméno nebo jiné informace o účtu (například křestní nebo příjmení) v hesle?
  7. Jaké jsou minimální a maximální délky hesel, které mohou být nastaveny, a jsou vhodné pro citlivost účtu a aplikace?
  8. Je možné nastavit běžná hesla, jako jsou Password1 nebo 123456?

Náprava

Pro zmírnění rizika snadno odhadnutelných hesel, která umožňují neoprávněný přístup, existují dvě řešení: zavést další autentizační ovládací prvky (např. dvoufaktorovou autentizaci) nebo zavést silnou politiku hesel. Nejsnazší a nejlevnější z těchto možností je zavedení silné politiky hesel, která zajistí délku, složitost, opakované použití a časové omezení platnosti hesel; ideálně by však měly být implementovány obě možnosti.

Odkazy

Published in Kyberbezpečnost

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *