Kas yra paskyros surinkimas?

Yra daug skirtingų duomenų pažeidimų tipų. Kai kurie iš jų reikalauja daug laiko, planavimo ir užpuoliko pastangų. Tai gali būti mokymosi, kaip veikia sistema, forma prieš sukuriant įtikinamą sukčiavimo pranešimą ir išsiunčiant jį darbuotojui, turinčiam pakankamai prieigos, kad užpuolikas galėtų pavogti neskelbtiną informaciją. Dėl tokio pobūdžio atakų gali būti prarastas didžiulis duomenų kiekis. Šaltinio kodas ir įmonės duomenys yra įprasti tikslai. Kiti tikslai apima naudotojų duomenis, pvz., naudotojų vardus, slaptažodžius, mokėjimo informaciją ir AII, pvz., socialinio draudimo numerius ir telefono numerius.

Tačiau kai kurios atakos nėra tokios sudėtingos. Tiesa, jie taip pat neturi tokio didelio poveikio visiems nukentėjusiems. Tačiau tai nereiškia, kad jie nėra problema. Vienas iš pavyzdžių vadinamas sąskaitų rinkimu arba sąskaitų surašymu.

Sąskaitų surašymas

Ar kada nors bandėte prisijungti prie svetainės tik tam, kad ji praneštų, jog slaptažodis neteisingas? Tai veikiau konkretus klaidos pranešimas, ar ne? Gali būti, kad jei tada sąmoningai padarysite savo vartotojo vardo ar el. pašto adreso klaidą, svetainė jums pasakys, kad „paskyros su šiuo el. pašto adresu nėra“ arba kažkas panašaus. Matote skirtumą tarp šių dviejų klaidų pranešimų? Svetainės, kuriose tai atliekama, yra pažeidžiamos dėl sąskaitų surašymo arba sąskaitų rinkimo. Paprasčiau tariant, pateikiant du skirtingus klaidų pranešimus dviem skirtingiems scenarijams, galima nustatyti, ar naudotojo vardas arba el. pašto adresas turi galiojančią paslaugos paskyrą, ar ne.

Yra daug skirtingų būdų, kaip nustatyti tokią problemą. Aukščiau pateiktas dviejų skirtingų klaidų pranešimų scenarijus yra gana matomas. Tai taip pat lengva ištaisyti, tiesiog abiem atvejais pateikite bendrą klaidos pranešimą. Kažkas panašaus į „Įvestas naudotojo vardas arba slaptažodis buvo neteisingi“.

Kiti būdai, kuriais galima surinkti paskyras, yra slaptažodžio nustatymo iš naujo formos. Pamiršus slaptažodį patogu atkurti paskyrą. Prastai apsaugotoje svetainėje gali būti pateikti du skirtingi pranešimai, atsižvelgiant į tai, ar vartotojo vardas, kuriam bandėte išsiųsti slaptažodžio nustatymą iš naujo, egzistuoja. Įsivaizduokite: „Paskyros nėra“ ir „Slaptažodis išsiųstas iš naujo, patikrinkite el. Vėlgi pagal šį scenarijų galima nustatyti, ar paskyra egzistuoja, palyginus atsakymus. Sprendimas irgi tas pats. Pateikite bendrą atsakymą, pavyzdžiui: „Išsiųstas slaptažodžio nustatymo iš naujo el. laiškas“, net jei nėra el. pašto paskyros, į kurią būtų galima jį siųsti.

Sąskaitų rinkimo subtilumas

Abu pirmiau minėti metodai yra šiek tiek triukšmingi, kalbant apie jų pėdsaką. Jei užpuolikas bando įvykdyti bet kurią išpuolį dideliu mastu, jis gana lengvai pasirodys iš esmės bet kurioje registravimo sistemoje. Slaptažodžio nustatymo iš naujo metodas taip pat aiškiai siunčia el. laišką į bet kurią paskyrą, kuri iš tikrųjų egzistuoja. Garsiai kalbėti nėra geriausia mintis, jei bandote būti slaptas.

Kai kuriose svetainėse naudotojas gali tiesiogiai sąveikauti arba matyti. Tokiu atveju tiesiog naršydami svetainėje galite surinkti kiekvienos paskyros, su kuria susiduriate, ekraninius pavadinimus. Ekrano vardas dažnai gali būti vartotojo vardas. Daugeliu kitų atvejų tai gali duoti didelę užuominą, kokius naudotojų vardus atspėti, nes žmonės savo el. pašto adresuose dažniausiai naudoja savo vardų variantus. Šio tipo paskyros rinkimas sąveikauja su paslauga, tačiau iš esmės nesiskiria nuo standartinio naudojimo, todėl yra daug subtilesnis.

Puikus būdas būti subtiliam – iš viso neliesti svetainės, kuriai kyla pavojus. Jei užpuolikas bandė pasiekti tik darbuotojams skirtą įmonės svetainę, jis gali padaryti būtent tai. Užuot tikrinę pačią svetainę, ar nėra vartotojų sąrašo problemų, jie gali eiti kitur. Naršydami tokias svetaines kaip „Facebook“, „Twitter“ ir ypač „LinkedIn“, galite sudaryti gana gerą įmonės darbuotojų sąrašą. Jei užpuolikas gali nustatyti įmonės el. pašto formatą, pvz., vardas.pavardė@comapny.com, jis iš tikrųjų gali surinkti daugybę paskyrų niekada neprisijungdamas prie svetainės, kurią planuoja pulti.

Mažai ką galima padaryti prieš bet kurį iš šių sąskaitų rinkimo metodų. Jie yra mažiau patikimi nei pirmieji metodai, tačiau juos galima naudoti norint informuoti apie aktyvesnius sąskaitų surašymo metodus.

Velnias slypi detalėse

Bendras klaidos pranešimas paprastai yra sprendimas, kaip užkirsti kelią aktyvių paskyrų sąrašui. Tačiau kartais žaidimą lemia smulkmenos. Pagal standartus žiniatinklio serveriai pateikia būsenos kodus, kai atsako į užklausas. 200 yra „OK“ būsenos kodas, reiškiantis sėkmę, o 501 yra „vidinė serverio klaida“. Svetainėje turėtų būti bendras pranešimas, nurodantis, kad slaptažodis buvo nustatytas iš naujo, net jei iš tikrųjų taip nebuvo, nes nebuvo paskyros su pateiktu naudotojo vardu ar el. pašto adresu. Kai kuriais atvejais serveris vis tiek siųs klaidos kodą 501, net jei svetainėje rodomas sėkmingas pranešimas. Užpuolikui, atkreipiančiam dėmesį į detales, to pakanka, kad suprastų, ar paskyra tikrai egzistuoja, ar jos nėra.

Kalbant apie vartotojo vardus ir slaptažodžius, net laikas gali turėti įtakos. Svetainėje turi būti saugomas jūsų slaptažodis, tačiau norint išvengti jo nutekėjimo, jei jis būtų pažeistas arba jei būtų nesąžiningos informacijos, įprasta naudoti slaptažodžio maišą. Kriptografinė maiša yra vienpusė matematinė funkcija, kuri, jei pateikiama ta pati įvestis, visada suteikia tą patį išvestį, tačiau jei pasikeičia net vienas simbolis įvestyje, visa išvestis visiškai pasikeičia. Išsaugojus maišos išvestį, tada sumaišius pateiktą slaptažodį ir palyginus saugomą maišą, galima patikrinti, ar pateikėte teisingą slaptažodį, iš tikrųjų nežinodami savo slaptažodžio.

Detalių sujungimas

Geri maišos algoritmai užtrunka šiek tiek laiko, paprastai mažiau nei dešimtąją sekundės dalį. To pakanka, kad būtų sunku panaudoti žiaurią jėgą, bet ne taip ilgai, kad būtų sunku, kai tikrinate tik vieną vertę. svetainės inžinieriui gali kilti pagunda apsisaugoti nuo kampo ir nesivarginti slaptažodžio maišos, jei vartotojo vardo nėra. Turiu omenyje, kad nėra jokios prasmės, nes nėra su kuo lyginti. Problema yra laikas.

Į žiniatinklio užklausas atsakymas paprastai pateikiamas per kelias dešimtis ar net šimtą milisekundžių. Jei slaptažodžio maišos procesas užtrunka 100 milisekundžių, o kūrėjas jį praleidžia… tai gali būti pastebima. Tokiu atveju į neegzistuojančios paskyros autentifikavimo užklausą atsakymas būtų gautas maždaug per 50 ms dėl ryšio delsos. Galiojančios paskyros autentifikavimo užklausa su netinkamu slaptažodžiu gali užtrukti maždaug 150 ms, įskaitant ryšio delsą ir 100 ms, kol serveris sumaišo slaptažodį. Paprasčiausiai patikrinęs, kiek užtruko atsakymas, užpuolikas gali gana patikimai nustatyti, ar paskyra yra, ar ne.

Į detales orientuotos surašymo galimybės, kaip šios dvi, gali būti tokios pat veiksmingos kaip ir akivaizdesni galiojančių vartotojų paskyrų rinkimo būdai.

Sąskaitų surinkimo poveikis

Iš pirmo žvilgsnio galimybė nustatyti, ar svetainėje yra paskyra, ar jos nėra, gali atrodyti, kad tai nėra per didelė problema. Neatrodo, kad užpuolikas galėjo gauti prieigą prie paskyros ar dar ką nors. Problemos paprastai yra šiek tiek platesnės. Vartotojo vardai dažniausiai būna arba el. pašto adresai, arba pseudonimai, arba pagrįsti tikrais vardais. Tikras vardas gali būti lengvai susietas su asmeniu. El. pašto adresus ir slapyvardžius taip pat dažniausiai pakartotinai naudoja vienas asmuo, todėl jie gali būti susieti su konkrečiu asmeniu.

Taigi įsivaizduokite, ar užpuolikas gali nustatyti, kad jūsų el. pašto adresas turi paskyrą skyrybų advokatų svetainėje. Ką daryti svetainėje apie nišines politines pažiūras ar konkrečias sveikatos sąlygas. Tokie dalykai iš tikrųjų gali nutekėti slaptos informacijos apie jus. Informacija, kurios galbūt nenorėsite.

Be to, daugelis žmonių vis dar pakartotinai naudoja slaptažodžius keliose svetainėse. Taip yra nepaisant to, kad beveik visi žino apie saugumo patarimus viskam naudoti unikalius slaptažodžius. Jei jūsų el. pašto adresas yra susijęs su dideliu duomenų saugumo pažeidimu, gali būti, kad jūsų slaptažodžio maiša gali būti įtraukta į tą pažeidimą. Jei užpuolikas gali panaudoti brutalią jėgą, kad atspėtų jūsų slaptažodį iš to duomenų pažeidimo, jis gali bandyti jį panaudoti kitur. Tuo metu užpuolikas žinos jūsų el. pašto adresą ir slaptažodį, kurį galite naudoti. Jei jie gali išvardyti paskyras svetainėje, kurioje turite paskyrą, jie gali išbandyti tą slaptažodį. Jei pakartotinai naudojote tą slaptažodį toje svetainėje, užpuolikas gali patekti į jūsų paskyrą. Štai kodėl rekomenduojama viskam naudoti unikalius slaptažodžius.

Išvada

Sąskaitų rinkimas, dar vadinamas sąskaitų surašymu, yra saugumo problema. Paskyros surašymo pažeidžiamumas leidžia užpuolikui nustatyti, ar paskyra egzistuoja, ar ne. Kaip informacijos atskleidimo pažeidžiamumas, jo tiesioginis poveikis nebūtinai yra rimtas. Problema ta, kad kartu su kita informacija situacija gali pablogėti. Dėl to gali būti susietos su konkrečiu asmeniu jautrios ar privačios detalės. Jis taip pat gali būti naudojamas kartu su trečiųjų šalių duomenų pažeidimais, siekiant gauti prieigą prie paskyrų.

Taip pat nėra jokios teisėtos priežasties, kad svetainė galėtų nutekėti šią informaciją. Jei vartotojas padaro klaidą savo vartotojo vardu arba slaptažodžiu, jis turi patikrinti tik du dalykus, kad pamatytų, kur padarė klaidą. Rizika, kurią sukelia paskyros surašymo pažeidžiamumas, yra daug didesnė nei labai nedidelė nauda, ​​kurią jie gali suteikti vartotojui, suklydusiam vartotojo vardą arba slaptažodį.