Peretas adalah ancaman besar bagi bisnis dan individu. Otentikasi seharusnya menjauhkan mereka dari area aman, tetapi tidak selalu berhasil.
Penjahat dunia maya memiliki berbagai trik yang dapat digunakan untuk menyamar sebagai pengguna yang sah. Ini memungkinkan mereka untuk mengakses informasi pribadi yang tidak seharusnya mereka akses. Ini kemudian dapat digunakan atau dijual.
Peretas seringkali dapat mengakses area aman karena kerentanan autentikasi yang rusak. Jadi apa kerentanan ini, dan bagaimana Anda bisa mencegahnya?
Apa itu Kerentanan Otentikasi Rusak?
Kerentanan autentikasi yang rusak adalah setiap kerentanan yang memungkinkan penyerang menyamar sebagai pengguna yang sah.
Pengguna yang sah biasanya masuk menggunakan kata sandi atau ID sesi. ID sesi adalah sesuatu di komputer pengguna yang menunjukkan bahwa mereka sebelumnya telah masuk. Setiap kali Anda menjelajah internet dan tidak diminta masuk ke salah satu akun Anda, itu karena penyedia akun telah menemukan ID sesi Anda.
Sebagian besar kerentanan autentikasi yang rusak adalah masalah dengan cara penanganan ID sesi atau kata sandi. Untuk mencegah serangan, Anda perlu melihat bagaimana seorang peretas dapat menggunakan salah satu item ini, dan kemudian memodifikasi sistem untuk membuatnya sesulit mungkin.
Bagaimana ID Sesi Diperoleh?
Bergantung pada bagaimana sistem dirancang, ID sesi dapat diperoleh dengan berbagai cara. Setelah ID sesi diterima, peretas dapat mengakses bagian mana pun dari sistem yang dapat diakses oleh pengguna yang sah.
Pembajakan Sesi
Pembajakan sesi adalah tindakan mencuri ID sesi. Ini sering kali disebabkan oleh pengguna yang melakukan kesalahan dan menyebabkan ID sesi mereka tersedia untuk orang lain.
Jika pengguna menggunakan Wi-Fi yang tidak aman, data yang masuk ke dan dari komputer mereka tidak akan dienkripsi. Seorang peretas kemudian dapat mencegat ID sesi saat dikirim dari sistem ke pengguna.
Opsi yang jauh lebih mudah adalah jika pengguna menggunakan komputer publik dan lupa logout. Dalam skenario ini, ID sesi tetap berada di komputer dan dapat diakses oleh siapa saja.
Penulisan Ulang URL ID Sesi
Beberapa sistem dirancang sedemikian rupa sehingga ID sesi disimpan dalam URL. Setelah masuk ke sistem seperti itu, pengguna diarahkan ke URL unik. Pengguna kemudian dapat mengakses sistem lagi dengan mengunjungi halaman yang sama.
Ini bermasalah karena siapa pun yang mendapatkan akses ke URL khusus pengguna dapat meniru identitas pengguna tersebut. Hal ini dapat terjadi jika pengguna menggunakan Wi-Fi yang tidak aman atau jika mereka membagikan URL uniknya dengan orang lain. URL sering kali dibagikan secara online dan tidak jarang pengguna membagikan ID sesi tanpa disadari.
Bagaimana Kata Sandi Diperoleh?
Kata sandi dapat dicuri atau ditebak dengan berbagai cara baik dengan atau tanpa bantuan pengguna. Banyak dari teknik ini dapat diotomatisasi, memungkinkan peretas mencoba meretas ribuan kata sandi dalam satu tindakan.
Penyemprotan Kata Sandi
Penyemprotan kata sandi melibatkan percobaan kata sandi yang lemah secara massal. Banyak sistem dirancang untuk mengunci pengguna setelah beberapa upaya yang salah.
Penyemprotan kata sandi mengatasi masalah ini dengan mencoba kata sandi yang lemah di ratusan akun daripada mencoba menargetkan satu akun. Ini memungkinkan penyerang untuk mencoba kata sandi secara massal tanpa memberi tahu sistem.
Isian Kredensial
Penjejalan kredensial adalah tindakan menggunakan kata sandi curian untuk mencoba mengakses akun pribadi secara massal. Kata sandi yang dicuri tersedia secara luas secara online. Setiap kali situs web diretas, detail pengguna dapat dicuri, dan seringkali dijual kembali oleh peretas.
Pengisian kredensial melibatkan pembelian detail pengguna ini dan kemudian mencobanya di situs web secara massal. Karena kata sandi sering digunakan kembali, satu nama pengguna dan pasangan kata sandi sering kali dapat digunakan untuk masuk ke banyak akun.
Pengelabuan
Email phishing adalah email yang tampak sah tetapi sebenarnya dirancang untuk mencuri kata sandi orang dan detail pribadi lainnya. Dalam email phishing, pengguna diminta untuk mengunjungi halaman web dan masuk ke akun yang mereka miliki. Namun, halaman web yang disediakan berbahaya dan informasi apa pun yang dimasukkan segera dicuri.
Cara Meningkatkan Manajemen Sesi
Kemampuan peretas untuk menyamar sebagai pengguna menggunakan ID sesi tergantung pada bagaimana sistem dirancang.
Jangan Simpan ID Sesi di URL
ID sesi tidak boleh disimpan di URL. Cookie ideal untuk ID sesi dan jauh lebih sulit diakses oleh penyerang.
Terapkan Logout Otomatis
Pengguna harus keluar dari akun mereka setelah tidak aktif dalam jumlah tertentu. Setelah diterapkan, ID sesi yang dicuri tidak dapat digunakan lagi.
Putar ID Sesi
ID sesi harus diganti secara teratur bahkan tanpa mengharuskan pengguna untuk keluar. Ini bertindak sebagai alternatif untuk logout otomatis dan mencegah skenario di mana penyerang dapat menggunakan ID sesi yang dicuri selama pengguna melakukannya.
Cara Meningkatkan Kebijakan Kata Sandi
Semua area pribadi harus membutuhkan password yang kuat dan pengguna harus diminta untuk memberikan autentikasi tambahan.
Terapkan Aturan Kata Sandi
Sistem apa pun yang menerima kata sandi harus menyertakan aturan tentang kata sandi apa yang diterima. Pengguna harus diminta untuk memberikan kata sandi dengan panjang minimum dan campuran karakter.
Wajibkan Autentikasi Dua Faktor
Kata sandi mudah dicuri dan cara terbaik untuk mencegah peretas menggunakannya adalah dengan menerapkan autentikasi dua faktor. Ini mengharuskan pengguna untuk tidak hanya memasukkan kata sandi mereka tetapi juga untuk memberikan informasi lain, biasanya hanya disimpan di perangkat mereka.
Setelah diterapkan, peretas tidak akan dapat mengakses akun tersebut, meskipun mereka mengetahui kata sandinya.
Kerentanan Otentikasi Rusak Merupakan Ancaman Signifikan
Kerentanan otentikasi yang rusak adalah masalah signifikan pada sistem apa pun yang menyimpan informasi pribadi. Mereka mengizinkan peretas untuk menyamar sebagai pengguna yang sah dan mengakses area mana pun yang tersedia untuk mereka.
Otentikasi rusak biasanya mengacu pada masalah dengan bagaimana sesi dikelola atau bagaimana kata sandi digunakan. Dengan memahami bagaimana peretas dapat mencoba mengakses sistem, memungkinkan untuk melakukannya sesulit mungkin.
Sistem harus dirancang agar ID sesi tidak mudah diakses dan tidak bekerja lebih lama dari yang diperlukan. Kata sandi juga tidak boleh diandalkan sebagai satu-satunya alat otentikasi pengguna.
