en

Logowanie

Nie masz konta? Zapomniałem hasła

Przypomnij hasło

close Wypełnij formularz.
Na Twój adres e-mail zostanie wysłane link umożliwiający zmianę hasła.
Wyślij

Kilka słów o uwierzytelnianiu

Magdalena Rega, 19 czerwca 2020
Kilka słów o uwierzytelnianiu

Bezpieczeństwo danych logowania na stronach internetowych to zagadnienie, którego nie można pominąć. W czasach, gdy codziennością są ataki hakerskie na bazy danych użytkowników banków, sklepów internetowych i urzędów, musimy być niezwykle czujni.


Przeczytajcie, jak zadbać o uwierzytelnianie i bezpieczeństwo haseł użytkowników Waszych stron!


Czym jest uwierzytelnianie?


Uwierzytelnianiem nazywamy proces, w którym użytkownik musi potwierdzić swoją tożsamość za pomocą jednego lub wielu składników. Uwierzytelnianie można przeprowadzić na 3 sposoby.


  • W najpopularniejszym z nich, użytkownik musi wykorzystać znaną mu informację – najczęściej hasło.
  • W drugim należy posłużyć się czymś posiadanym przez użytkownika – przedmiotem lub cechą użytkownika. I tak, do uwierzytelnienia można wykorzystać klucz, token, kartę czy kod przesłany na smartfon.
  • Ostatni wykorzystuje indywidualne cechy użytkownika — aby potwierdzić tożsamość, należy użyć odcisku palca, głosu czy tęczówki.


Coraz popularniejsze staje się uwierzytelnianie wieloskładnikowe, które wymaga wykorzystania więcej niż jednej informacji lub elementu.


Problemy z uwierzytelnianiem


Jak z każdym innym czynnikiem, tak i z uwierzytelnianiem wiążą się potencjalne problemy z zapewnieniem bezpieczeństwa.


Przejdźmy zatem do OWASP Top 10, czyli dokumentu, który zawiera najpowszechniejsze błędy bezpieczeństwa znajdowane w aplikacjach webowych. W dokumencie znajdziemy kategorię „Broken Authentication”. Najkrócej ujmując, są to wszelkie błędy związane z rejestracją i logowaniem. 


Chcąc zapewnić bezpieczeństwo danych użytkowników strony, należy przyjrzeć się takim kwestiom, jak poprawna implementacja odzyskiwania hasła i prawidłowa obsługa sesji.


Jak zadbać o bezpieczeństwo haseł użytkowników strony? 


Przy rejestracji warto zadbać o wymuszenie wyboru hasła o odpowiedniej długości i skomplikowaniu. 

Nie można pominąć najważniejszej kwestii, czyli odpowiedniego przechowywania haseł użytkowników. Najgorszą możliwą praktyką jest trzymanie haseł w postaci plain textu. Zamiast tego, lepiej przechowywać je w postaci zahaszowanej, wykorzystując odpowiednio silne algorytmy.


Jeszcze lepszym rozwiązaniem jest dodatkowo solenie i pieprzenie. Takie rozwiązanie uodparnia hasło na łamanie z użyciem tęczowych tablic, a dodatkowo hash uzyskany z takich samych haseł będzie się różnił ze względu na użycie różnej soli.



Dobrze wprowadzić również odpowiednio skomplikowane pytania pomocnicze. Nie powinny dotyczyć zagadnień, dla których lista potencjalnych odpowiedzi jest stosunkowo krótka, jak ulubiony kolor czy zwierzę.


Warto zadbać jeszcze o jednakowy komunikat wyświetlany po wpisaniu błędnego loginu lub hasła. Takie rozwiązanie pozwala uniknąć możliwości enumeracji loginów, a w konsekwencji znacząco utrudni ataki brute force. Dobrym zabezpieczeniem jest tutaj możliwość wspomnianego wcześniej uwierzytelniania wieloskładnikowego. Nawet jeśli dane logowania zostaną ujawnione, wykorzystanie ich będzie praktycznie niemożliwe – potencjalny włamywacz musiałby dodatkowo zdobyć np. wysłany na nasz telefon kod SMS.


Dla zgłębienia tematu zapraszam do zapoznania się z rozdziałem OWASP Top 10, który znajduje się tutaj.


Autorką wpisu jest Magdalena Rega – tester oprogramowania, pasjonatka cyberbezpieczeństwa. Magdalena ma również swój wkład w bezpieczeństwo Crossweb – wykryła i poinformowała nas o niewielkim błędzie w procesie logowania. Dziękujemy!



Blog - najnowsze wpisy

Prasówka HR od Crossweb #37
Krzysztof Hostyński, 13 kwietnia 2021

W dzisiejszej prasówce znajdziecie bardzo świeży temat - przyszłość biur po pandemii. Poza tym możecie przeczytać o skut

Prasówka HR od Crossweb #36
Krzysztof Hostyński, 30 marca 2021

Gotowi i gotowe na nową prasówkę? Dziś dowiecie się, jak postawić pierwsze kroki w branży rekrutacyjnej, jak wykorzystać

Prasówka HR od Crossweb #35
Krzysztof Hostyński, 23 marca 2021

Jeśli chcesz stworzyć sprawny proces rekrutacyjny, musisz znać perspektywę kandydatów – przeczytasz o nich więcej w dzis

Prasówka HR od Crossweb #34
Krzysztof Hostyński, 15 marca 2021

Czy dla pracowników istotny jest wolontariat? Jak doceniać pracowników i czy w ogóle warto to robić? Co zrobić, by popra