コーダーがセキュリティを征服する:共有して学ぶシリーズ-認証
このブログでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできる組織、つまりほとんどの人が直面する最も一般的な問題の1つを取り上げます。さて、これから認証について話すのはお察しのとおりです。
ハッカーが有効なユーザー名とパスワードで管理者としてシステムにログインできれば、ネットワーク防御と戦うための高度なテクニックを導入する必要はありません。システムは単にドアを開け、攻撃者を中に入れるだけです。さらに悪いことに、攻撃者があまり風変わりなことをしなければ、攻撃者の存在を検知することはほとんど不可能です。ほとんどの防御では、攻撃者は単に攻撃者を正当なユーザーまたは管理者としか見なさないからです。
認証の脆弱性のカテゴリは非常に大きいですが、ユーザーのログインプロセスに誤って組み込まれる傾向がある最も一般的な問題について説明します。これらのホールを補うことで、認証に関する問題の大半を組織から取り除くことができます。
このエピソードでは、次のことを学びます。
- 一般的な認証の脆弱性がどのように悪用されているか
- なぜ彼らはそんなに危険なのか
- 認証の脆弱性を排除するためにどのようなポリシーと手法を使用できるか
攻撃者は認証の脆弱性をどのように悪用しますか?
認証システムに侵入する可能性のある認証の脆弱性はかなりあるため、ハッカーはそれぞれ少しずつ異なる方法で悪用します。まず、最も一般的な脆弱性を確認し、次にそのいくつかがどのように悪用されるかを示す例を挙げてみましょう。
最も一般的な認証の脆弱性は次のとおりです。
- パスワードポリシーが弱いか不十分
- 無制限のログイン試行を許可し、
- ログインに失敗した情報を攻撃者に提供し、
- 安全でないチャネルでの認証情報の送信、
- パスワードのハッシュが弱い
- また、パスワード回復プロセスが安全ではありません。
脆弱なパスワードポリシーを持つことは、おそらく最も一般的な脆弱性です。制限なしでパスワードを作成できるユーザーがいると、推測しやすいパスワードを使用するユーザーが多すぎます。毎年、さまざまなコンピューターニュース組織が最もよく使われているパスワードのリストを発表していますが、「123456」と「password」は常に上位5位に入っています。他にもあります。管理者は「神」をよく使います。確かに、それらはすべてユーモラスで覚えやすいだけでなく、推測するのも非常に簡単です。ハッカーは最も一般的なパスワードを知っており、システムへの侵入を試みるときにはまずそのパスワードを試します。このようなパスワードが組織で許可されていると、やがて侵害されてしまいます。
それほど明白ではありませんが、それでも危険な脆弱性は、ログインの失敗に関する情報をユーザーに返すことです。これは悪いことです。というのも、あるメッセージをユーザー名が存在しない場合と、ユーザー名は存在するがパスワードが不適切な場合に別のメッセージを返すと、攻撃者はシステム上の有効なユーザーを突き止め、そのユーザー名のパスワードを推測することに集中できるようになるからです。これを、無制限のパスワード推測を可能にする認証の脆弱性と組み合わせると、攻撃者は見つけた有効なユーザーに対して辞書攻撃を仕掛けることができ、パスワードを推測しやすい場合は、攻撃者はすぐにシステムに侵入する可能性があります。
認証の脆弱性はなぜそれほど危険なのですか?
アメリカの旧西部には、偏執的なホームステッドが玄関のドアにトリプルロックを取り付け、窓に板を張り、手の届くところにたくさんの銃を持って寝ていたという話があります。朝、彼は死んでいるのが発見された。彼が裏口に鍵をかけるのを忘れたので、攻撃者が彼を捕まえた。認証の脆弱性とはよく似たものです。攻撃者が有効なユーザー名とパスワードを使用してネットワークに侵入できるのであれば、どのような監視ツールや事前対策を講じているか、何人の専門アナリストを雇っていようと、まったく問題ありません。
いったん中に入ると、攻撃者ができることに対する制限はほとんどありません。攻撃者がユーザー権限の範囲内で行動している限り(管理者アカウントを侵害した場合はかなり広範囲に及ぶ可能性があります)、深刻な問題を防ぐために時間内に捕まる可能性はほとんどありません。そのため、認証クラスの脆弱性は、どのシステムでも最も危険な脆弱性の 1 つとなっています。
認証脆弱性の排除
ネットワークから認証の脆弱性を排除する最善の方法の 1 つは、適切なパスワードポリシーをグローバルに適用することです。ユーザー、さらには管理者が「パスワード」のようなパスワードの使用を制限すべきであるだけでなく、攻撃者が辞書や一般的なフレーズを使った攻撃を仕掛けることを不可能にするような複雑さを強いる必要があります。システムを保護することの重要性に基づいて、パスワード作成に関する独自のルールを考案できます。そうすることで、攻撃者がパスワードを推測したり、ブルートフォースしたりするのがはるかに困難になります。
また、間違ったパスワードが3回以上入力された場合にユーザーがロックアウトされるように、ログインの失敗回数を制限する必要があります。ロックアウトは一時的なものでもかまいません。数分遅れるだけで、自動辞書攻撃の継続を防ぐことができます。または、管理者によってアカウントのロックが解除されない限り、恒久的にロックされることもあります。いずれの場合も、セキュリティ担当者が状況を監視できるように、ロックアウトが発生するたびにセキュリティ担当者に警告する必要があります。
攻撃者が情報を収集するのを防ぐもう 1 つの良い方法は、不正なユーザー名またはパスワードが入力されたときに汎用的なメッセージを作成することです。ハッカーが拒否されたのは、ユーザーが存在しないためなのか、それともパスワードが間違っているためなのかをハッカーが知ることができないように、どちらの場合も同じでなければなりません。
認証の脆弱性は、ほとんどのシステムで最も一般的で危険なものです。しかし、発見や排除もかなり簡単です。
認証の脆弱性に関する詳細情報
詳細については、OWASPをご覧ください 認証チートシート。また、新しく身につけた防御知識を、次の方法で試すこともできます 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
Secure Code Warriorプラットフォームで、認証の脆弱性に正面から立ち向かってください。 [ここから始める]
ここでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできるようにする組織が直面する最も一般的な問題の 1 つを取り上げます。これはほぼ全員の問題です。さて、これから認証について話すのはお察しのとおりです。
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
このブログでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできる組織、つまりほとんどの人が直面する最も一般的な問題の1つを取り上げます。さて、これから認証について話すのはお察しのとおりです。
ハッカーが有効なユーザー名とパスワードで管理者としてシステムにログインできれば、ネットワーク防御と戦うための高度なテクニックを導入する必要はありません。システムは単にドアを開け、攻撃者を中に入れるだけです。さらに悪いことに、攻撃者があまり風変わりなことをしなければ、攻撃者の存在を検知することはほとんど不可能です。ほとんどの防御では、攻撃者は単に攻撃者を正当なユーザーまたは管理者としか見なさないからです。
認証の脆弱性のカテゴリは非常に大きいですが、ユーザーのログインプロセスに誤って組み込まれる傾向がある最も一般的な問題について説明します。これらのホールを補うことで、認証に関する問題の大半を組織から取り除くことができます。
このエピソードでは、次のことを学びます。
- 一般的な認証の脆弱性がどのように悪用されているか
- なぜ彼らはそんなに危険なのか
- 認証の脆弱性を排除するためにどのようなポリシーと手法を使用できるか
攻撃者は認証の脆弱性をどのように悪用しますか?
認証システムに侵入する可能性のある認証の脆弱性はかなりあるため、ハッカーはそれぞれ少しずつ異なる方法で悪用します。まず、最も一般的な脆弱性を確認し、次にそのいくつかがどのように悪用されるかを示す例を挙げてみましょう。
最も一般的な認証の脆弱性は次のとおりです。
- パスワードポリシーが弱いか不十分
- 無制限のログイン試行を許可し、
- ログインに失敗した情報を攻撃者に提供し、
- 安全でないチャネルでの認証情報の送信、
- パスワードのハッシュが弱い
- また、パスワード回復プロセスが安全ではありません。
脆弱なパスワードポリシーを持つことは、おそらく最も一般的な脆弱性です。制限なしでパスワードを作成できるユーザーがいると、推測しやすいパスワードを使用するユーザーが多すぎます。毎年、さまざまなコンピューターニュース組織が最もよく使われているパスワードのリストを発表していますが、「123456」と「password」は常に上位5位に入っています。他にもあります。管理者は「神」をよく使います。確かに、それらはすべてユーモラスで覚えやすいだけでなく、推測するのも非常に簡単です。ハッカーは最も一般的なパスワードを知っており、システムへの侵入を試みるときにはまずそのパスワードを試します。このようなパスワードが組織で許可されていると、やがて侵害されてしまいます。
それほど明白ではありませんが、それでも危険な脆弱性は、ログインの失敗に関する情報をユーザーに返すことです。これは悪いことです。というのも、あるメッセージをユーザー名が存在しない場合と、ユーザー名は存在するがパスワードが不適切な場合に別のメッセージを返すと、攻撃者はシステム上の有効なユーザーを突き止め、そのユーザー名のパスワードを推測することに集中できるようになるからです。これを、無制限のパスワード推測を可能にする認証の脆弱性と組み合わせると、攻撃者は見つけた有効なユーザーに対して辞書攻撃を仕掛けることができ、パスワードを推測しやすい場合は、攻撃者はすぐにシステムに侵入する可能性があります。
認証の脆弱性はなぜそれほど危険なのですか?
アメリカの旧西部には、偏執的なホームステッドが玄関のドアにトリプルロックを取り付け、窓に板を張り、手の届くところにたくさんの銃を持って寝ていたという話があります。朝、彼は死んでいるのが発見された。彼が裏口に鍵をかけるのを忘れたので、攻撃者が彼を捕まえた。認証の脆弱性とはよく似たものです。攻撃者が有効なユーザー名とパスワードを使用してネットワークに侵入できるのであれば、どのような監視ツールや事前対策を講じているか、何人の専門アナリストを雇っていようと、まったく問題ありません。
いったん中に入ると、攻撃者ができることに対する制限はほとんどありません。攻撃者がユーザー権限の範囲内で行動している限り(管理者アカウントを侵害した場合はかなり広範囲に及ぶ可能性があります)、深刻な問題を防ぐために時間内に捕まる可能性はほとんどありません。そのため、認証クラスの脆弱性は、どのシステムでも最も危険な脆弱性の 1 つとなっています。
認証脆弱性の排除
ネットワークから認証の脆弱性を排除する最善の方法の 1 つは、適切なパスワードポリシーをグローバルに適用することです。ユーザー、さらには管理者が「パスワード」のようなパスワードの使用を制限すべきであるだけでなく、攻撃者が辞書や一般的なフレーズを使った攻撃を仕掛けることを不可能にするような複雑さを強いる必要があります。システムを保護することの重要性に基づいて、パスワード作成に関する独自のルールを考案できます。そうすることで、攻撃者がパスワードを推測したり、ブルートフォースしたりするのがはるかに困難になります。
また、間違ったパスワードが3回以上入力された場合にユーザーがロックアウトされるように、ログインの失敗回数を制限する必要があります。ロックアウトは一時的なものでもかまいません。数分遅れるだけで、自動辞書攻撃の継続を防ぐことができます。または、管理者によってアカウントのロックが解除されない限り、恒久的にロックされることもあります。いずれの場合も、セキュリティ担当者が状況を監視できるように、ロックアウトが発生するたびにセキュリティ担当者に警告する必要があります。
攻撃者が情報を収集するのを防ぐもう 1 つの良い方法は、不正なユーザー名またはパスワードが入力されたときに汎用的なメッセージを作成することです。ハッカーが拒否されたのは、ユーザーが存在しないためなのか、それともパスワードが間違っているためなのかをハッカーが知ることができないように、どちらの場合も同じでなければなりません。
認証の脆弱性は、ほとんどのシステムで最も一般的で危険なものです。しかし、発見や排除もかなり簡単です。
認証の脆弱性に関する詳細情報
詳細については、OWASPをご覧ください 認証チートシート。また、新しく身につけた防御知識を、次の方法で試すこともできます 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
Secure Code Warriorプラットフォームで、認証の脆弱性に正面から立ち向かってください。 [ここから始める]
このブログでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできる組織、つまりほとんどの人が直面する最も一般的な問題の1つを取り上げます。さて、これから認証について話すのはお察しのとおりです。
ハッカーが有効なユーザー名とパスワードで管理者としてシステムにログインできれば、ネットワーク防御と戦うための高度なテクニックを導入する必要はありません。システムは単にドアを開け、攻撃者を中に入れるだけです。さらに悪いことに、攻撃者があまり風変わりなことをしなければ、攻撃者の存在を検知することはほとんど不可能です。ほとんどの防御では、攻撃者は単に攻撃者を正当なユーザーまたは管理者としか見なさないからです。
認証の脆弱性のカテゴリは非常に大きいですが、ユーザーのログインプロセスに誤って組み込まれる傾向がある最も一般的な問題について説明します。これらのホールを補うことで、認証に関する問題の大半を組織から取り除くことができます。
このエピソードでは、次のことを学びます。
- 一般的な認証の脆弱性がどのように悪用されているか
- なぜ彼らはそんなに危険なのか
- 認証の脆弱性を排除するためにどのようなポリシーと手法を使用できるか
攻撃者は認証の脆弱性をどのように悪用しますか?
認証システムに侵入する可能性のある認証の脆弱性はかなりあるため、ハッカーはそれぞれ少しずつ異なる方法で悪用します。まず、最も一般的な脆弱性を確認し、次にそのいくつかがどのように悪用されるかを示す例を挙げてみましょう。
最も一般的な認証の脆弱性は次のとおりです。
- パスワードポリシーが弱いか不十分
- 無制限のログイン試行を許可し、
- ログインに失敗した情報を攻撃者に提供し、
- 安全でないチャネルでの認証情報の送信、
- パスワードのハッシュが弱い
- また、パスワード回復プロセスが安全ではありません。
脆弱なパスワードポリシーを持つことは、おそらく最も一般的な脆弱性です。制限なしでパスワードを作成できるユーザーがいると、推測しやすいパスワードを使用するユーザーが多すぎます。毎年、さまざまなコンピューターニュース組織が最もよく使われているパスワードのリストを発表していますが、「123456」と「password」は常に上位5位に入っています。他にもあります。管理者は「神」をよく使います。確かに、それらはすべてユーモラスで覚えやすいだけでなく、推測するのも非常に簡単です。ハッカーは最も一般的なパスワードを知っており、システムへの侵入を試みるときにはまずそのパスワードを試します。このようなパスワードが組織で許可されていると、やがて侵害されてしまいます。
それほど明白ではありませんが、それでも危険な脆弱性は、ログインの失敗に関する情報をユーザーに返すことです。これは悪いことです。というのも、あるメッセージをユーザー名が存在しない場合と、ユーザー名は存在するがパスワードが不適切な場合に別のメッセージを返すと、攻撃者はシステム上の有効なユーザーを突き止め、そのユーザー名のパスワードを推測することに集中できるようになるからです。これを、無制限のパスワード推測を可能にする認証の脆弱性と組み合わせると、攻撃者は見つけた有効なユーザーに対して辞書攻撃を仕掛けることができ、パスワードを推測しやすい場合は、攻撃者はすぐにシステムに侵入する可能性があります。
認証の脆弱性はなぜそれほど危険なのですか?
アメリカの旧西部には、偏執的なホームステッドが玄関のドアにトリプルロックを取り付け、窓に板を張り、手の届くところにたくさんの銃を持って寝ていたという話があります。朝、彼は死んでいるのが発見された。彼が裏口に鍵をかけるのを忘れたので、攻撃者が彼を捕まえた。認証の脆弱性とはよく似たものです。攻撃者が有効なユーザー名とパスワードを使用してネットワークに侵入できるのであれば、どのような監視ツールや事前対策を講じているか、何人の専門アナリストを雇っていようと、まったく問題ありません。
いったん中に入ると、攻撃者ができることに対する制限はほとんどありません。攻撃者がユーザー権限の範囲内で行動している限り(管理者アカウントを侵害した場合はかなり広範囲に及ぶ可能性があります)、深刻な問題を防ぐために時間内に捕まる可能性はほとんどありません。そのため、認証クラスの脆弱性は、どのシステムでも最も危険な脆弱性の 1 つとなっています。
認証脆弱性の排除
ネットワークから認証の脆弱性を排除する最善の方法の 1 つは、適切なパスワードポリシーをグローバルに適用することです。ユーザー、さらには管理者が「パスワード」のようなパスワードの使用を制限すべきであるだけでなく、攻撃者が辞書や一般的なフレーズを使った攻撃を仕掛けることを不可能にするような複雑さを強いる必要があります。システムを保護することの重要性に基づいて、パスワード作成に関する独自のルールを考案できます。そうすることで、攻撃者がパスワードを推測したり、ブルートフォースしたりするのがはるかに困難になります。
また、間違ったパスワードが3回以上入力された場合にユーザーがロックアウトされるように、ログインの失敗回数を制限する必要があります。ロックアウトは一時的なものでもかまいません。数分遅れるだけで、自動辞書攻撃の継続を防ぐことができます。または、管理者によってアカウントのロックが解除されない限り、恒久的にロックされることもあります。いずれの場合も、セキュリティ担当者が状況を監視できるように、ロックアウトが発生するたびにセキュリティ担当者に警告する必要があります。
攻撃者が情報を収集するのを防ぐもう 1 つの良い方法は、不正なユーザー名またはパスワードが入力されたときに汎用的なメッセージを作成することです。ハッカーが拒否されたのは、ユーザーが存在しないためなのか、それともパスワードが間違っているためなのかをハッカーが知ることができないように、どちらの場合も同じでなければなりません。
認証の脆弱性は、ほとんどのシステムで最も一般的で危険なものです。しかし、発見や排除もかなり簡単です。
認証の脆弱性に関する詳細情報
詳細については、OWASPをご覧ください 認証チートシート。また、新しく身につけた防御知識を、次の方法で試すこともできます 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
Secure Code Warriorプラットフォームで、認証の脆弱性に正面から立ち向かってください。 [ここから始める]
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
このブログでは、ウェブサイトを運営している組織や、従業員がコンピューターリソースにリモートアクセスできる組織、つまりほとんどの人が直面する最も一般的な問題の1つを取り上げます。さて、これから認証について話すのはお察しのとおりです。
ハッカーが有効なユーザー名とパスワードで管理者としてシステムにログインできれば、ネットワーク防御と戦うための高度なテクニックを導入する必要はありません。システムは単にドアを開け、攻撃者を中に入れるだけです。さらに悪いことに、攻撃者があまり風変わりなことをしなければ、攻撃者の存在を検知することはほとんど不可能です。ほとんどの防御では、攻撃者は単に攻撃者を正当なユーザーまたは管理者としか見なさないからです。
認証の脆弱性のカテゴリは非常に大きいですが、ユーザーのログインプロセスに誤って組み込まれる傾向がある最も一般的な問題について説明します。これらのホールを補うことで、認証に関する問題の大半を組織から取り除くことができます。
このエピソードでは、次のことを学びます。
- 一般的な認証の脆弱性がどのように悪用されているか
- なぜ彼らはそんなに危険なのか
- 認証の脆弱性を排除するためにどのようなポリシーと手法を使用できるか
攻撃者は認証の脆弱性をどのように悪用しますか?
認証システムに侵入する可能性のある認証の脆弱性はかなりあるため、ハッカーはそれぞれ少しずつ異なる方法で悪用します。まず、最も一般的な脆弱性を確認し、次にそのいくつかがどのように悪用されるかを示す例を挙げてみましょう。
最も一般的な認証の脆弱性は次のとおりです。
- パスワードポリシーが弱いか不十分
- 無制限のログイン試行を許可し、
- ログインに失敗した情報を攻撃者に提供し、
- 安全でないチャネルでの認証情報の送信、
- パスワードのハッシュが弱い
- また、パスワード回復プロセスが安全ではありません。
脆弱なパスワードポリシーを持つことは、おそらく最も一般的な脆弱性です。制限なしでパスワードを作成できるユーザーがいると、推測しやすいパスワードを使用するユーザーが多すぎます。毎年、さまざまなコンピューターニュース組織が最もよく使われているパスワードのリストを発表していますが、「123456」と「password」は常に上位5位に入っています。他にもあります。管理者は「神」をよく使います。確かに、それらはすべてユーモラスで覚えやすいだけでなく、推測するのも非常に簡単です。ハッカーは最も一般的なパスワードを知っており、システムへの侵入を試みるときにはまずそのパスワードを試します。このようなパスワードが組織で許可されていると、やがて侵害されてしまいます。
それほど明白ではありませんが、それでも危険な脆弱性は、ログインの失敗に関する情報をユーザーに返すことです。これは悪いことです。というのも、あるメッセージをユーザー名が存在しない場合と、ユーザー名は存在するがパスワードが不適切な場合に別のメッセージを返すと、攻撃者はシステム上の有効なユーザーを突き止め、そのユーザー名のパスワードを推測することに集中できるようになるからです。これを、無制限のパスワード推測を可能にする認証の脆弱性と組み合わせると、攻撃者は見つけた有効なユーザーに対して辞書攻撃を仕掛けることができ、パスワードを推測しやすい場合は、攻撃者はすぐにシステムに侵入する可能性があります。
認証の脆弱性はなぜそれほど危険なのですか?
アメリカの旧西部には、偏執的なホームステッドが玄関のドアにトリプルロックを取り付け、窓に板を張り、手の届くところにたくさんの銃を持って寝ていたという話があります。朝、彼は死んでいるのが発見された。彼が裏口に鍵をかけるのを忘れたので、攻撃者が彼を捕まえた。認証の脆弱性とはよく似たものです。攻撃者が有効なユーザー名とパスワードを使用してネットワークに侵入できるのであれば、どのような監視ツールや事前対策を講じているか、何人の専門アナリストを雇っていようと、まったく問題ありません。
いったん中に入ると、攻撃者ができることに対する制限はほとんどありません。攻撃者がユーザー権限の範囲内で行動している限り(管理者アカウントを侵害した場合はかなり広範囲に及ぶ可能性があります)、深刻な問題を防ぐために時間内に捕まる可能性はほとんどありません。そのため、認証クラスの脆弱性は、どのシステムでも最も危険な脆弱性の 1 つとなっています。
認証脆弱性の排除
ネットワークから認証の脆弱性を排除する最善の方法の 1 つは、適切なパスワードポリシーをグローバルに適用することです。ユーザー、さらには管理者が「パスワード」のようなパスワードの使用を制限すべきであるだけでなく、攻撃者が辞書や一般的なフレーズを使った攻撃を仕掛けることを不可能にするような複雑さを強いる必要があります。システムを保護することの重要性に基づいて、パスワード作成に関する独自のルールを考案できます。そうすることで、攻撃者がパスワードを推測したり、ブルートフォースしたりするのがはるかに困難になります。
また、間違ったパスワードが3回以上入力された場合にユーザーがロックアウトされるように、ログインの失敗回数を制限する必要があります。ロックアウトは一時的なものでもかまいません。数分遅れるだけで、自動辞書攻撃の継続を防ぐことができます。または、管理者によってアカウントのロックが解除されない限り、恒久的にロックされることもあります。いずれの場合も、セキュリティ担当者が状況を監視できるように、ロックアウトが発生するたびにセキュリティ担当者に警告する必要があります。
攻撃者が情報を収集するのを防ぐもう 1 つの良い方法は、不正なユーザー名またはパスワードが入力されたときに汎用的なメッセージを作成することです。ハッカーが拒否されたのは、ユーザーが存在しないためなのか、それともパスワードが間違っているためなのかをハッカーが知ることができないように、どちらの場合も同じでなければなりません。
認証の脆弱性は、ほとんどのシステムで最も一般的で危険なものです。しかし、発見や排除もかなり簡単です。
認証の脆弱性に関する詳細情報
詳細については、OWASPをご覧ください 認証チートシート。また、新しく身につけた防御知識を、次の方法で試すこともできます 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
Secure Code Warriorプラットフォームで、認証の脆弱性に正面から立ち向かってください。 [ここから始める]
Table des matières
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
