Attacco al sistema di autenticazione di un sito web
Come difendersi dai cyber attacchi ai sistemi di autenticazione
“Il mio sito web è stato hackerato!”
Probabilmente non è la prima volta che hai sentito queste parole, ma cosa significa esattamente per il tuo sito web o per il tuo software essere violato?
In questo articolo trattiamo la problematica degli attacchi di autenticazione. In genere, si tratta di minacce estremamente critiche per l’ovvia relazione tra sistemi di autenticazione e livello di sicurezza di un’infrastruttura.
Una grossa falla di sicurezza al sistema di autenticazione di un servizio web-based può comportare l’accesso indesiderato di utenti sconosciuti o peggio, può comportare l’esposizione di informazioni sensibili a coloro che non hanno i diritti necessari per accedervi.
Se ancora vi state chiedendo che cosa sono esattamente gli attacchi di autenticazione?
Siete nel punto più corretto per scoprirlo.
Indice degli argomenti
Prima di entrare nel dettaglio degli attacchi di autenticazione, è bene comprendere i concetti di identificazione e autenticazione.
Al giorno d’oggi, qualsiasi servizio online che fornisca un’esperienza, un contenuto o un servizio al pubblico (specialmente se gratuito) incoraggia l’utente ad autenticarsi con un account dedicato.
Questi account utente sono il principale obiettivo degli attacchi di autenticazione e alcuni di essi hanno potenzialmente più valore di altri, proprio per il genere di informazioni che contengono.
La macro-differenza tra autenticazione e identificazione sta nel processo di verifica dell’identità dell’utente e di chi afferma di essere (autenticazione) mentre l’autorizzazione comporta la verifica se un utente è autorizzato a fare qualcosa o meno.
L’identificazione riferisce ad esempio alla schermata di accesso ad un servizio online che richiede un nome utente ed una password. Se esiste il nome utente, il sistema è in grado di identificare l’account utente associato ad esso. In sostanza, stai affermando la tua identità con il nome utente.
L’autenticazione si riferisce invece al modo in cui l’utente dimostra l’identità.
Resta possibile dimostrare la propria identità offrendo qualcosa che solo l’utente conosce o possiede.
Nella maggior parte dei casi, con questa richiesta si indicano le credenziali.
Una volta, identificato e autenticato l’utente, si passa al processo di autorizzazione ovvero, l’utente che ha potuto accedere alle informazioni poiché ha sufficienti privilegi per poterlo fare. In altre parole, l’utente è autorizzato a farlo.
O così almeno dovrebbe essere.
Il sistema di autenticazione di un sito Web o di un’applicazione sono generalmente costituiti da meccanismi distinti in cui possono riscontrarsi una o più vulnerabilità di sicurezza.
Questa estrema criticità nel processo fa sì che negli anni, gli attaccanti abbiano sviluppato diverse tecniche di attacco.
Gli attacchi di autenticazione sono generalmente 3:
Brute Force attack
Insufficient Authentication
Weak Password Recovery Validation
L’obiettivo di un attaccante è quello di riuscire a indovinare combinazioni di credenziali valide e violare l’accesso account.
Sfortunatamente, non tutti i sistemi hanno una buona difesa contro gli attacchi di autenticazione. Negli ultimi anni inoltre, gli attacchi di autenticazione si svolgono sempre più grazie all’intermediazione di tool automatici i grado di velocizzare e migliorare nettamente le attività di hacking.
Ecco alcuni indicatori comuni che possono aiutarti ad identificare se il tuo account è a rischio.
Account utente bloccato
alcuni sistemi hanno meccanismi di difesa che entrano in funzione quando si susseguono troppi tentativi di accesso su un account utente che non vanno a buon fine. Se vi è già capitato di scoprire che il vostro account utente è bloccato e voi non avete effettuato alcun tentativo di accesso, una delle ipotesi è che un malintenzionato ha tentato di violare le vostre credenziali.
Avete ricevuto un’email di allarme poiché qualcuno ha provato ad accedere al vostro account
esistono sistemi che hanno modo per distinguere le attività di accesso “normale” dalle attività anomale.
Ad esempio, se di solito l’accesso ad un portale viene effettuato dall’Italia e sempre dallo stesso dispositivo, qualora si verificasse un tentativo di accesso da qualsiasi altro luogo nel mondo il sistema invia all’utente un alert.Le vecchie credenziali non funzionano più
se avete la certezza di aver inserito la credenziali corrette, ma il sistema al quale state cercando di accedere non funziona o vi restituisce un errore di autenticazione, potrebbe significare che qualcuno è entrato nel vostro account e ha cambiato la password di accesso. Non si tratta di una costante, ma può essere un ipotesi
Gli attacchi di autenticazione aumentando di giorno in giorno.
Quel che è peggio è che la fonte di questi attacchi sta cambiando in modo tale che sia sempre più complesso identificarli e bloccarli senza avere ripercussioni sul traffico e sulle connessioni. Insieme esamineremo i diversi tipi di attacchi di autenticazione per avere una possibilità in più di evitarli:
Brute force
Gli attacchi di brute force sono il tipo più comune di attacchi di autenticazione. Questa tecnica consente all’attaccante di indovinare:
- nome utente
- password
- numero di carta di credito
- chiave crittografica
dell’utente vittima utilizzando un processo automatizzato di tentativi ed errori.
Gli attacchi di forza bruta sono meno efficaci contro gli account dei servizi online perché questi di solito hanno meccanismi per prevenire un elevato volume di tentativi.
Dove invece questa tecnica eccelle, è offline.
Ad esempio, provare a violare un file protetto da password o un dispositivo come un laptop attraverso metodo brute force è molto più semplice.
Senza meccanismi in grado di bloccare i tentativi di accesso all’account, è solo questione di tempo prima che una password debole venga trovata.
Contro gli attacchi di brute force, la password più forte è una password lunga. Le caratteristiche per scegliere una password complessa sono qui.
Attacchi a dizionario (dictionary attack)
Gli attacchi a dizionario sono un altro tipo comune di attacco ai sistemi di autenticazione. Il termine “dizionario” si riferisce a qualsiasi elenco di password.
Invece di tentare ogni possibile combinazione, viene utilizzato un elenco preparato di parole per aumentare le possibilità di crackare le password.
Attacchi Password Spray
I password spray attacks sono una versione raffinata degli attacchi a dizionario.
Si tratta di minacce nelle quali l’attaccante usa password comuni per tentare di accedere a più account presenti su uno stesso dominio. La protezione della MFA aiuta in questo senso gli utenti a tutelarsi dalla minaccia.
Attacchi credential stuffing
Questi attacchi utilizzano elenchi di combinazioni di nomi utente e password reali. Questi elenchi provengono dal numero crescente di data breach. Questi attacchi sfruttano credenziali già rubate dati e tengono conto di chi non ha aggiornato le password dopo una violazione precedente dei dati. Proveranno anche queste combinazioni di nome utente e password in tutti i servizi per sfruttare il fatto che alcune persone usano lo stesso nome utente e password per più account.
Insufficient Authentication
Sembra scontato a molti di noi, ma dovete pensare che non tutti i siti o applicazioni web hanno un sistema di autenticazione. Infatti, gli attacchi di insufficient authentication si verificano quando un’infrastruttura web-based consente a un attaccante di accedere a contenuti o info sensibili senza doversi autenticare correttamente.
Weak Password Recovery Validation
In questo ultimo caso, analizziamo l’attacco che consente a un attaccante di ottenere, modificare o recuperare illegalmente la password dell’utente vittima.
Non investire nella sicurezza online, soprattutto quando si tratta di garantire ai propri utenti l’accesso sicuro ai servizi web-based, potrebbe potenzialmente danneggiare la reputazione pubblica e le finanze della vostra azienda.
Una volta che un malintenzionato ha bypassato l’autenticazione o si è fatto strada nell’account di un altro utente, ha accesso a tutti i dati e le funzionalità che ha l’account compromesso. Se è in grado di compromettere un account altamente privilegiato, come un account amministratore di sistema, potrebbe assumere il pieno controllo dell’intera applicazione e potenzialmente ottenere l’accesso all’infrastruttura interna.
Anche compromettere un account a basso privilegio potrebbe concedere un accesso agli aggressori ai dati che altrimenti non dovrebbero avere, come informazioni commerciali sensibili.
Anche se l’account non ha accesso a dati sensibili, potrebbe comunque consentire all’attaccante di accedere a pagine aggiuntive, che forniscono un’ulteriore superficie di attacco disponibile.
Siamo umani e abbiamo una capacità limitata di ricordare le password.
Se in azienda siete costretti a scrivere le vostre password su post-it e attaccarle ai monitor del computer, il problema si fa serio.
Vediamo allora delle linee guida per difendersi dagli attacchi di autenticazione:
8-12 caratteri sono la lunghezza consigliata della password.
Cercate di attenervi ad un minimo di 12 e non dimenticare di avere almeno un carattere maiuscolo, uno minuscolo, cifre e simboli.-
Dotate i vostri collaboratori di un password manager
Non utilizzare lo stesso nome utente e password su diversi servizi;
Non utilizzare una password che esiste già in un elenco di “password comuni”.
Gli attacchi di autenticazione sono una minaccia silenziosa, ma sempre più crescente nel panorama online di oggi. Non molte persone sono consapevoli della minaccia e ancora meno ne comprendono le drastiche conseguenze. La realtà è che le nostre vite stanno diventando sempre più integrate online, e subire cyberattacchi sta diventando frequente quanto essere attaccati nel mondo reale.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.