Аутентификацияның осал тұстары_

Тұжырымдама бойынша, аутентификацияның осалдықтары түсінуге болатын қарапайым мәселелердің бірі болып табылады. Дегенмен, олар аутентификация мен қауіпсіздік арасындағы айқын байланысқа байланысты ең маңыздылардың бірі болуы мүмкін. Шабуылдаушыларға құпия деректерге және функционалдылыққа тікелей қол жеткізуге мүмкіндік берумен қатар, олар әрі қарай эксплуатациялар үшін қосымша шабуыл бетін ашады. Осы себепті аутентификацияның осал тұстарын анықтауды және пайдалануды, соның ішінде жалпы қорғау шараларын айналып өтуді үйрену негізгі дағды болып табылады.

Бұл бөлімде біз веб-сайттар пайдаланатын ең көп тараған аутентификация механизмдерін қарастырамыз және олардағы ықтимал осалдықтарды талқылаймыз. Біз әртүрлі аутентификация механизмдеріне тән осалдықтарды, сондай-ақ оларды дұрыс орындамау арқылы енгізілген кейбір типтік осалдықтарды бөлектейміз. Соңында, біз өзіңіздің аутентификация механизмдеріңіздің мүмкіндігінше сенімді болуын қалай қамтамасыз етуге болатыны туралы негізгі нұсқауларды береміз.

Аутентификация дегеніміз не?

Аутентификация – берілген пайдаланушының немесе клиенттің жеке басын тексеру процесі. Басқаша айтқанда, бұл олардың шынымен кім екеніне көз жеткізуді қамтиды. Кем дегенде ішінара веб-сайттар дизайн бойынша интернетке қосылған кез келген адамға әсер етеді. Сондықтан сенімді аутентификация механизмдері тиімді веб-қауіпсіздіктің ажырамас аспектісі болып табылады.

Аутентификацияның әртүрлі түрлерін жіктеуге болатын үш аутентификация факторы бар:

Құпия сөз немесе қауіпсіздік сұрағына жауап сияқты сіз білетін нәрсе. Бұларды кейде «білім факторлары» деп те атайды. Сізде бар нәрсе, яғни ұялы телефон немесе қауіпсіздік белгісі сияқты физикалық нысан. Бұларды кейде «иелену факторлары» деп те атайды. Сіз жасайтын немесе жасайтын нәрсе, мысалы, сіздің биометрикаңыз немесе мінез-құлық үлгілері. Бұларды кейде «тұқымдық факторлар» деп те атайды. Аутентификация механизмдері осы факторлардың біреуін немесе бірнешеуін тексеру үшін бірқатар технологияларға сүйенеді.

Аутентификация мен авторизацияның айырмашылығы неде?

Түпнұсқалық растама - бұл пайдаланушының шынымен кім екенін растау процесі, ал авторизация пайдаланушыға бірдеңе жасауға рұқсат етілгенін тексеруді қамтиды.

Веб-сайттың немесе веб-бағдарламаның контекстінде аутентификация Carlos123 пайдаланушы атымен сайтқа кіруге әрекеттенген адамның шынымен де тіркелгіні жасаған адам екенін анықтайды.

Carlos123 түпнұсқалығы расталғаннан кейін оның рұқсаттары, мысалы, басқа пайдаланушылар туралы жеке ақпаратқа қол жеткізуге немесе басқа пайдаланушының тіркелгісін жою сияқты әрекеттерді орындауға рұқсаты бар-жоғын анықтайды.

Аутентификацияның осалдықтары қалай пайда болады?

Жалпы алғанда, аутентификация механизмдеріндегі осалдықтардың көпшілігі екі жолдың бірінде пайда болады:

• Аутентификация механизмдері әлсіз, себебі олар қатыгездік шабуылдарынан тиісті түрде қорғай алмайды.
• Логикалық кемшіліктер немесе іске асырудағы нашар кодтау аутентификация механизмдерін шабуылдаушыға толығымен айналып өтуге мүмкіндік береді. Бұл кейде «бұзылған аутентификация» деп аталады.

Веб-әзірлеудің көптеген салаларында логикалық кемшіліктер веб-сайттың күтпеген әрекетін тудырады, бұл қауіпсіздік мәселесі болуы мүмкін немесе болмауы мүмкін. Дегенмен, аутентификация қауіпсіздік үшін өте маңызды болғандықтан, қате аутентификация логикасы веб-сайтты қауіпсіздік мәселелеріне ұшырату ықтималдығы анық жоғарылайды.

Әлсіз аутентификацияның әсері қандай?

Аутентификация осалдықтарының әсері өте ауыр болуы мүмкін. Шабуылдаушы аутентификацияны айналып өткеннен кейін немесе басқа пайдаланушының тіркелгісіне күштеп кіргеннен кейін, олар бұзылған тіркелгідегі барлық деректер мен функцияларға қол жеткізе алады. Егер олар жүйелік әкімші сияқты жоғары артықшылықты тіркелгіні бұза алатын болса, олар бүкіл қолданбаны толық бақылауға алып, ішкі инфрақұрылымға кіру мүмкіндігіне ие болуы мүмкін.

Төмен артықшылықты тіркелгіні бұзудың өзі шабуылдаушыға коммерциялық құпия бизнес ақпараты сияқты оларда болмауы керек деректерге рұқсат беруі мүмкін. Тіркелгінің кез келген құпия деректерге қатынасы болмаса да, ол әлі де шабуылдаушыға қосымша шабуыл бетін қамтамасыз ететін қосымша беттерге кіруге мүмкіндік беруі мүмкін. Көбінесе белгілі бір жоғары дәрежелі шабуылдар жалпыға қолжетімді беттерден мүмкін болмайды, бірақ олар ішкі беттен мүмкін болуы мүмкін.