A07:2021 – Fallas de Identificación y Autenticación Flashcards
Cuales son las CWE mas notables en la vulnerabilidad de Fallas de Identificación y Autenticación
- CWE-297: Validación incorrecta de Certificado con discrepancia de host
- CWE-287: Autenticación incorrecta
- CWE-384: Fijación de sesiones.
Cuando puede haber debilidades de autenticacion? (Fallas de Identificación y Autenticación)
Puede haber debilidades de autenticación si la aplicación:
- Permite ataques automatizados como la reutilización de credenciales conocidas, donde el atacante posee una lista de pares de usuario y contraseña válidos.
- Permite ataques de fuerza bruta u otros ataques automatizados.
- Permite contraseñas por defecto, débiles o bien conocidas, como “Password1” o “admin/admin”.
- Posee procesos débiles o no efectivos para las funcionalidades de olvido de contraseña o recuperación de credenciales, como “respuestas basadas en el conocimiento”, las cuales no se pueden implementar de forma segura.
- Almacena las contraseñas en texto claro, cifradas o utilizando funciones de hash débiles
- No posee una autenticación multi-factor o la implementada es ineficaz.
- Expone el identificador de sesión en la URL.
- Reutiliza el identificador de sesión después de iniciar sesión.
- No inválida correctamente los identificadores de sesión. Las sesiones de usuario o los tokens de autenticación (principalmente tokens de inicio de sesión único (SSO)) no son correctamente invalidados durante el cierre de sesión o luego de un período de inactividad.
Como se previene la vulnerabilidad de Fallas de Identificación y Autenticación
- Cuando sea posible, implemente la autenticación multi-factor para evitar ataques automatizados de reutilización de credenciales conocidas, fuerza bruta y reúso de credenciales robadas.
- No incluya o implemente en su software credenciales por defecto, particularmente para usuarios administradores.
- Implemente un control contra contraseñas débiles, tal como verificar que una nueva contraseña o la utilizada en el cambio de contraseña no esté incluida en la lista de las 10,000 peores contraseñas.
- Alinear las políticas de largo, complejidad y rotación de las contraseñas con las pautas de la sección 5.1.1 para Secretos Memorizados de la guía del NIST 800-63b u otras políticas de contraseñas modernas, basadas en evidencias.
- Asegúrese que el registro, la recuperación de las credenciales y el uso de APIs, no permiten los ataques de enumeración de usuarios, mediante la utilización de los mismos mensajes genéricos en todas las salidas.
- Limite o incremente el tiempo de espera entre intentos fallidos de inicio de sesión, pero tenga cuidado de no crear un escenario de denegación de servicio. Registre todos los fallos y avise a los administradores cuando se detecten ataques de rellenos automatizados de credenciales, fuerza bruta u otros.
- Utilice un gestor de sesión en el servidor, integrado, seguro y que genere un nuevo ID de sesión aleatorio con alta entropía después de iniciar sesión. Los identificadores de sesión no deben incluirse en la URL, deben almacenarse de forma segura y deben ser invalidados después del cierre de sesión, luego de un tiempo de inactividad o por un tiempo de espera absoluto.
Diga de que vulnerabilidad es el siguiente escenario:
Relleno de credenciales, el uso de listas de contraseñas conocidas, es un ataque común. Supongamos que una aplicación no se implementa protección automatizada de relleno de credenciales. En ese caso, la aplicación puede usarse como oráculo de contraseñas para determinar si las credenciales son válidas.
Fallas de Identificación y Autenticación
Diga de que vulnerabilidad es el siguiente escenario:
La mayoría de los ataques de autenticación ocurren debido al uso de contraseñas como único factor. Las consideradas mejores prácticas de requerir de una rotación y complejidad de las contraseñas, son vistos como alentadoras del uso y reúso de contraseñas débiles por parte de los usuarios. Se le recomienda a las organizaciones que detengan dichas prácticas y utilicen las prácticas recomendadas en la guía NIST 800-63 y utilicen autenticación multi-factor.
Fallas de Identificación y Autenticación
Diga de que vulnerabilidad es el siguiente escenario:
Los tiempos de espera (timeouts) de las sesiones de aplicación no están configurados correctamente. Un usuario utiliza una computadora pública para acceder a una aplicación. En lugar de seleccionar “cerrar sesión”, el usuario simplemente cierra la pestaña del navegador y se aleja. Un atacante usa el mismo navegador una hora más tarde, y el usuario continúa autenticado.
Fallas de Identificación y Autenticación
Cual es el top de la vulnerabilidad Fallas de Identificación y Autenticación
7