Rok 2024 zapowiada się niezwykle ekscytująco dla entuzjastów startupów i innowacji! W tym artykule przedstawiamy zestawi
Kilka słów o uwierzytelnianiu
.png)
Bezpieczeństwo danych logowania na stronach internetowych to zagadnienie, którego nie można pominąć. W czasach, gdy codziennością są ataki hakerskie na bazy danych użytkowników banków, sklepów internetowych i urzędów, musimy być niezwykle czujni.
Przeczytajcie, jak zadbać o uwierzytelnianie i bezpieczeństwo haseł użytkowników Waszych stron!
Czym jest uwierzytelnianie?
Uwierzytelnianiem nazywamy proces, w którym użytkownik musi potwierdzić swoją tożsamość za pomocą jednego lub wielu składników. Uwierzytelnianie można przeprowadzić na 3 sposoby.
- W najpopularniejszym z nich, użytkownik musi wykorzystać znaną mu informację – najczęściej hasło.
- W drugim należy posłużyć się czymś posiadanym przez użytkownika – przedmiotem lub cechą użytkownika. I tak, do uwierzytelnienia można wykorzystać klucz, token, kartę czy kod przesłany na smartfon.
- Ostatni wykorzystuje indywidualne cechy użytkownika — aby potwierdzić tożsamość, należy użyć odcisku palca, głosu czy tęczówki.
Coraz popularniejsze staje się uwierzytelnianie wieloskładnikowe, które wymaga wykorzystania więcej niż jednej informacji lub elementu.
Problemy z uwierzytelnianiem
Jak z każdym innym czynnikiem, tak i z uwierzytelnianiem wiążą się potencjalne problemy z zapewnieniem bezpieczeństwa.
Przejdźmy zatem do OWASP Top 10, czyli dokumentu, który zawiera najpowszechniejsze błędy bezpieczeństwa znajdowane w aplikacjach webowych. W dokumencie znajdziemy kategorię „Broken Authentication”. Najkrócej ujmując, są to wszelkie błędy związane z rejestracją i logowaniem.
Chcąc zapewnić bezpieczeństwo danych użytkowników strony, należy przyjrzeć się takim kwestiom, jak poprawna implementacja odzyskiwania hasła i prawidłowa obsługa sesji.
Jak zadbać o bezpieczeństwo haseł użytkowników strony?
Przy rejestracji warto zadbać o wymuszenie wyboru hasła o odpowiedniej długości i skomplikowaniu.
Nie można pominąć najważniejszej kwestii, czyli odpowiedniego przechowywania haseł użytkowników. Najgorszą możliwą praktyką jest trzymanie haseł w postaci plain textu. Zamiast tego, lepiej przechowywać je w postaci zahaszowanej, wykorzystując odpowiednio silne algorytmy.
Jeszcze lepszym rozwiązaniem jest dodatkowo solenie i pieprzenie. Takie rozwiązanie uodparnia hasło na łamanie z użyciem tęczowych tablic, a dodatkowo hash uzyskany z takich samych haseł będzie się różnił ze względu na użycie różnej soli.
Dobrze wprowadzić również odpowiednio skomplikowane pytania pomocnicze. Nie powinny dotyczyć zagadnień, dla których lista potencjalnych odpowiedzi jest stosunkowo krótka, jak ulubiony kolor czy zwierzę.
Warto zadbać jeszcze o jednakowy komunikat wyświetlany po wpisaniu błędnego loginu lub hasła. Takie rozwiązanie pozwala uniknąć możliwości enumeracji loginów, a w konsekwencji znacząco utrudni ataki brute force. Dobrym zabezpieczeniem jest tutaj możliwość wspomnianego wcześniej uwierzytelniania wieloskładnikowego. Nawet jeśli dane logowania zostaną ujawnione, wykorzystanie ich będzie praktycznie niemożliwe – potencjalny włamywacz musiałby dodatkowo zdobyć np. wysłany na nasz telefon kod SMS.
Dla zgłębienia tematu zapraszam do zapoznania się z rozdziałem OWASP Top 10, który znajduje się tutaj.
Autorką wpisu jest Magdalena Rega – tester oprogramowania, pasjonatka cyberbezpieczeństwa. Magdalena ma również swój wkład w bezpieczeństwo Crossweb – wykryła i poinformowała nas o niewielkim błędzie w procesie logowania. Dziękujemy!
Blog - najnowsze wpisy
Przygotuj się na ekscytującą podróż po najciekawszych wydarzeniach w tematyce digital marketingu na 2024 rok! W tym zest
W dobie cyfrowej transformacji administracja publiczna dąży do maksymalnego ułatwienia obywatelom dostępu do usług urzęd
W świetle nieustannych zmian i postępującej digitalizacji branża User Experience (UX) wciąż kreuje przyszłość interakcji
W dzisiejszym dynamicznym świecie, rozwój technologii nieustannie otwiera nowe możliwości, również dla kobiet, które cor
Czy kiedykolwiek marzyłeś o wyzwaniach, które pozwolą Ci wcielić w życie swoje pomysły i przetestować umiejętności progr