破坏性身份验证是黑客用来冒充合法用户的几个漏洞的总称。广义地说，断开认证指的是两个方面的弱点：会话管理和凭证管理。这两种方法都被归类为损坏的身份验证，因为攻击者可以使用被劫持的会话ID或窃取的登录凭据伪装成用户。黑客利用各种各样的策略来利用这些弱点，从巨大的凭证填充攻击到针对性很强的计划，目的是获取特定人员的证书。近年来，破坏性的身份验证攻击是许多最严重的数据泄露的原因，安全专家对这种未被充分认识的威胁发出了警报。开放式Web应用程序安全项目（OWASP）已将其列入2017年以来最大Web应用程序安全风险的"十大"名单。到2020年，被破坏的认证已经攀升到第二位。下面，我们将解释与破坏身份验证相关的弱点，以及企业如何防范这些弱点。会话管理缺陷为攻击打开了大门会话管理是中断身份验证的一部分，但这两个术语通常并列列出，以免人们认为"身份验证"仅指用户名和密码。但由于web应用程序使用会话和凭据来识别单个用户，黑客也可以模拟这些用户。会话管理基础知识会话描述了用户在一段时间内与应用程序交互的所有方式。假设你先去纽约时报的网站浏览一段时间，然后再登录到你的账户，做一个填字游戏，然后注销并关闭标签。从你到达的那一刻起你所做的一切都是一个疗程。Web应用程序为每个用户的每次访问都提供一个唯一的会话ID，这允许应用程序在用户通过站点时与用户进行通信。这些会话id通常采用cookies和url的形式。会话管理关注如何定义该会话的参数。例如，在自动注销用户之前，会话可以持续多长时间？如何发布和撤销会话ID？它们如何安全地链接到用户的IP地址？会话管理攻击劫持如果没有适当的保护措施，web应用程序很容易受到会话劫持的攻击，黑客利用窃取的会话id来冒充用户的身份。会话劫持最直接的例子是用户忘记注销应用程序，然后离开设备。黑客可以继续他们的会话。会话ID URL重写另一种常见的会话劫持方法是"URL重写"。在这种情况下，个人的会话ID会出现在网站的URL中。任何能看到它的人（比如通过不安全的Wi-Fi连接）都可以进入会话。（放大就是这样发生的）会话固定一个通常被忽视的最佳实践是在用户登录后轮换会话ID，而不是在身份验证之前和之后为用户提供相同的ID。未能执行此操作的应用程序容易受到会话固定攻击。在这种会话劫持的变体中，我的云，攻击者获取合法的会话ID，然后诱骗受害者使用它登录。一旦受害者登录，攻击者就会复制ID来模拟受害者。如果应用程序在登录后向合法用户发出新的会话ID，则攻击者无法跟踪他们。黑客利用脆弱和受损的凭证。近年来，黑客发现，访问禁区系统最简单的方法就是用别人的证书登录。根据Verizon的2020年数据泄露报告，网络钓鱼和使用窃取的凭证是目前最常见的两种类型的数据泄露。他们报告说"黑客攻击，甚至一般的违规行为。。。是因为证件被盗。"恶意参与者使用各种方法窃取、猜测或诱骗用户泄露密码。凭证填充当黑客访问一个充满未加密电子邮件和密码的数据库时，他们经常出售或分发列表供其他黑客使用。这些黑客然后使用僵尸网络进行暴力攻击，测试从一个网站盗取的不同帐户的凭证。而且由于人们经常反复使用同一个密码，这种策略通常是有效的。目前，黑客可以使用数十亿个被破坏的凭证。大多数时候，用户甚至不知道他们从高中开始使用的密码只是他们所有帐户的一个基本密钥。密码喷洒密码喷洒有点像凭证填充，但它没有使用被盗密码的数据库，而是使用一组弱密码或普通密码来闯入用户的帐户。（2019年的一项研究发现，有2320万个帐户使用"123456"作为密码，另有数百万个帐户使用体育名称、诅咒词和一直流行的"密码"。）密码喷洒是一种暴力攻击，但它通常会在多次登录失败后自动锁定阻止IP地址。它通过一次一个用户尝试同一个密码来实现这一点，而不是在单个用户上一个接一个地尝试密码。钓鱼式攻击黑客通常通过向用户发送假装来自可信来源的电子邮件进行钓鱼，然后诱骗用户共享其凭据或其他相关信息。它可以是一种基础广泛的尝试，用同样的虚假电子邮件攻击组织中的每个人，也可以采取针对特定目标的"鱼叉式网络钓鱼"攻击的形式。鱼叉式网络钓鱼特别有用，返利公众号，因为它可以用来操纵基于个人信息的某人的情绪。（一封主题为"你姐姐的照片"的邮件如果提到你姐姐的名字，效果会更好。）到目前为止，大多数组织都熟悉网络钓鱼攻击，并警告客户不要打开可疑电子邮件。尽管如此，免费网站自助建站，最近的一项研究发现，"组织对网络钓鱼的敏感度"仍然在5%左右（因此，如果你有20名员工，其中一名员工可能仍然会点击该电子邮件）。如何修复组织中损坏的身份验证破坏性身份验证攻击具有破坏性和普遍性，但它们也是高度可预防的。通过设置一些安全措施，您可以使您的组织成为黑客攻击的目标。更新会话管理控制会话长度每个web应用程序都会在某个时间点自动结束会话，无论是在注销之后，还是在一段时间内没有活动，或者是在一定时间内。根据用户类型和他们使用的应用程序调整会话长度。流媒体视频服务可能希望他们的会话时间长达数周，这样用户就可以直接导航到Netflix，而不必每次都登录。但是银行应用程序应该在几分钟后自动注销用户，因为被劫持会话的风险要高得多。轮换会话ID并使其无效正如我们所讨论的，防止会话固定的最佳方法是在登录后向用户发出新的会话ID。类似地，会话和身份验证令牌必须在会话结束后立即失效，这样黑客就不能重用它们。不要在URL中放置会话IDURL重写最终会暴露会话ID的方式有很多种，所以您最保险的做法是不要这样做。使用安全会话管理器生成的cookie。收紧密码策略实现多因素身份验证（MFA）OWASP修复损坏的身份验证的头号提示是"实现多因素身份验证，以防止自动、凭据填充、暴力和被盗凭据重用攻击。"考虑到密码在凭证填充和密码喷洒中的脆弱性，大数据与数据挖掘，很明显它们已经不足以保护一个帐户。MFA提供了一个额外的安全级别，它要求黑客更难伪造的额外凭证，例如生物特征扫描或一次性代码。不允许弱密码在设计应用程序的登录页面时，OWASP建议遵循NIST关于密码长度和复杂性的指导原则。他们还建议自动拒绝网络上最常见的密码。不存储纯文本密码如果你的密码数据库难以辨认，对黑客来说就没有价值了。加密使您的组织成为一个不那么吸引人的目标，并且它可以确保如果确实发生了漏洞，它将不会在将来的凭证填充攻击中针对用户使用。一个警告是，保持最新的散列和加密协议的最新信息对于这种方法的工作是至关重要的。使用违反密码保护使用带有违反密码保护的身份和访问管理（IAM）平台。当发现泄露的凭据缓存时，它将通知您是否有任何用户受到危害。这些用户将被锁定，直到他们更改密码，所以他们不能被用来对付你的凭据填充攻击。防范攻击开展工作场所网络钓鱼培训教你的员工如何发现恶意电子邮件是一个你必须认真对待并经常更新的项目。随着网络钓鱼攻击变得越来越复杂，淘客返利app，它们变得越来越难被发现，而对付这种威胁的唯一方法就是让你的员工随时了解情况。实施暴力保护涉及破坏身份验证的攻击不仅会危害您的数据，还会使您的站点崩溃。在凭证填充攻击期间，流量可以激增180倍，所以强力保护是保持在线的绝对必要条件。它的工作原理是限制特定IP地址可以尝试登录的次数，这样机器人程序就不会淹没您的系统。使用异常检测一个复杂的IAM系统不只是通过登录和会话id来判断用户是合法的还是恶意的。它还应该标记其他类型的可疑行为。异常检测将提醒您，例如，在北美，一名员工在晚上10点下班并记录b