en

Logowanie

Nie masz konta? Zapomniałem hasła

Przypomnij hasło

close Wypełnij formularz.
Na Twój adres e-mail zostanie wysłane link umożliwiający zmianę hasła.
Wyślij

Kilka słów o uwierzytelnianiu

Magdalena Rega, 19 czerwca 2020
Kilka słów o uwierzytelnianiu

Bezpieczeństwo danych logowania na stronach internetowych to zagadnienie, którego nie można pominąć. W czasach, gdy codziennością są ataki hakerskie na bazy danych użytkowników banków, sklepów internetowych i urzędów, musimy być niezwykle czujni.


Przeczytajcie, jak zadbać o uwierzytelnianie i bezpieczeństwo haseł użytkowników Waszych stron!


Czym jest uwierzytelnianie?


Uwierzytelnianiem nazywamy proces, w którym użytkownik musi potwierdzić swoją tożsamość za pomocą jednego lub wielu składników. Uwierzytelnianie można przeprowadzić na 3 sposoby.


  • W najpopularniejszym z nich, użytkownik musi wykorzystać znaną mu informację – najczęściej hasło.
  • W drugim należy posłużyć się czymś posiadanym przez użytkownika – przedmiotem lub cechą użytkownika. I tak, do uwierzytelnienia można wykorzystać klucz, token, kartę czy kod przesłany na smartfon.
  • Ostatni wykorzystuje indywidualne cechy użytkownika — aby potwierdzić tożsamość, należy użyć odcisku palca, głosu czy tęczówki.


Coraz popularniejsze staje się uwierzytelnianie wieloskładnikowe, które wymaga wykorzystania więcej niż jednej informacji lub elementu.


Problemy z uwierzytelnianiem


Jak z każdym innym czynnikiem, tak i z uwierzytelnianiem wiążą się potencjalne problemy z zapewnieniem bezpieczeństwa.


Przejdźmy zatem do OWASP Top 10, czyli dokumentu, który zawiera najpowszechniejsze błędy bezpieczeństwa znajdowane w aplikacjach webowych. W dokumencie znajdziemy kategorię „Broken Authentication”. Najkrócej ujmując, są to wszelkie błędy związane z rejestracją i logowaniem. 


Chcąc zapewnić bezpieczeństwo danych użytkowników strony, należy przyjrzeć się takim kwestiom, jak poprawna implementacja odzyskiwania hasła i prawidłowa obsługa sesji.


Jak zadbać o bezpieczeństwo haseł użytkowników strony? 


Przy rejestracji warto zadbać o wymuszenie wyboru hasła o odpowiedniej długości i skomplikowaniu. 

Nie można pominąć najważniejszej kwestii, czyli odpowiedniego przechowywania haseł użytkowników. Najgorszą możliwą praktyką jest trzymanie haseł w postaci plain textu. Zamiast tego, lepiej przechowywać je w postaci zahaszowanej, wykorzystując odpowiednio silne algorytmy.


Jeszcze lepszym rozwiązaniem jest dodatkowo solenie i pieprzenie. Takie rozwiązanie uodparnia hasło na łamanie z użyciem tęczowych tablic, a dodatkowo hash uzyskany z takich samych haseł będzie się różnił ze względu na użycie różnej soli.



Dobrze wprowadzić również odpowiednio skomplikowane pytania pomocnicze. Nie powinny dotyczyć zagadnień, dla których lista potencjalnych odpowiedzi jest stosunkowo krótka, jak ulubiony kolor czy zwierzę.


Warto zadbać jeszcze o jednakowy komunikat wyświetlany po wpisaniu błędnego loginu lub hasła. Takie rozwiązanie pozwala uniknąć możliwości enumeracji loginów, a w konsekwencji znacząco utrudni ataki brute force. Dobrym zabezpieczeniem jest tutaj możliwość wspomnianego wcześniej uwierzytelniania wieloskładnikowego. Nawet jeśli dane logowania zostaną ujawnione, wykorzystanie ich będzie praktycznie niemożliwe – potencjalny włamywacz musiałby dodatkowo zdobyć np. wysłany na nasz telefon kod SMS.


Dla zgłębienia tematu zapraszam do zapoznania się z rozdziałem OWASP Top 10, który znajduje się tutaj.


Autorką wpisu jest Magdalena Rega – tester oprogramowania, pasjonatka cyberbezpieczeństwa. Magdalena ma również swój wkład w bezpieczeństwo Crossweb – wykryła i poinformowała nas o niewielkim błędzie w procesie logowania. Dziękujemy!



Blog - najnowsze wpisy

Prasówka HR od Crossweb #11
Krzysztof Hostyński, 04 sierpnia 2020

Dziś mamy dla Was prasówkę mniejszą niż zazwyczaj — w sam raz do przejrzenia przy kawie czy przeczytania w drodze z prac

Prasówka HR od Crossweb #10
Krzysztof Hostyński, 28 lipca 2020

W dzisiejszej prasówce HR poruszamy kilka interesujących tematów. Możecie przeczytać o tajnikach pracy w branży human re

Prasówka HR od Crossweb #9
Krzysztof Hostyński, 21 lipca 2020

Witamy Was w ten wakacyjny wtorek kolejną edycją prasówki HR od Crossweb! O czym tym razem będziecie mogli przeczytać? O

Prasówka HR od Crossweb #8
Krzysztof Hostyński, 14 lipca 2020

Szukasz czegoś do poczytania? W dzisiejszej prasówce poruszamy tematy sourcingu, employer brandingu oraz zatrudniania os

Prasówka HR od Crossweb #7
Krzysztof Hostyński, 07 lipca 2020

Pierwsza lipcowa prasówka HR od Crossweb! Dziś przeczytacie m.in. o tym, jak łączyć pracę zdalną z biurową oraz jak przy

Prasówka HR od Crossweb #6
Krzysztof Hostyński, 30 czerwca 2020

Przed nami wakacje, ale wcale nie zwalniamy tempa! Mamy dla Was już 6. prasówkę HR, a niej takie tematy, jak onbarding,