Kommentar zum World Password Day von Veracode

„Der World Password Day heute erinnert uns alle daran, wie wichtig die Erkennung, Verhinderung und Behebung von Schwachstellen in Anwendungen beim Zugangs-Management ist. Denn mit Credentials-Management-Attacks versuchen Kriminelle, zusammengehörige Benutzernamen und Passwörter zu knacken, um so die Kontrolle über Benutzerkonten zu übernehmen. Deshalb führen Schwachstellen im Zugangs-Management zu enormen Sicherheitsrisiken und gefährden Systeme, Webseiten und Anwendungen. Je nach Zugriffsberechtigung der gehackten Konten können Angreifer Finanztransaktionen einleiten, Daten einschließlich personenbezogener Daten ändern oder stehlen, sich als authentifizierter Benutzer ausgeben, Malware installieren oder Zugriff auf weitere Daten und Systeme erhalten.

Es gibt eine Vielzahl an Methoden, wie Angreifer Schwachstellen im Zugangs-Management ausnutzen. So attackieren sie gerne Hard-Coded Credentials, die für die Speicherung von Passwörtern verwendet werden, oder kryptografische Schlüssel, die Zugangsdaten, Authentifizierung oder Kommunikationsinformationen verschlüsseln. Eine Analyse von Veracode zeigt: 40 % der mit Veracode-Tools gescannten Software haben in irgendeiner Form Schwachstellen im Credentials-Management. Die Verwendung von Hard-Coded Passwörtern war dabei die häufigste Schwachstellenursache. Deshalb ist es entscheidend, dass Anmeldedaten nicht in leichtzugänglichen Bereichen gespeichert werden. Außerdem sollten für die Verschlüsselung der gesamten Authentifizierungskommunikation keine fest codierten Verschlüsselungscodes verwendet werden.

Passwörter verstecken sich in einer Vielzahl von unterschiedlichen Bereichen einer Applikation. Sie können direkt im Code gefunden werden, um zum Beispiel eine Datenbankverbindung aufzubauen. Je nach Programmiersprache können diese Passwörter auch sehr leicht extrahiert und für Angriffe verwendet werden. In modernen Entwicklungsumgebungen werden Applikationen und alle zugehörigen Komponenten in Repositories gespeichert. Repositories können ebenfalls Passwörter, Private Keys für Zertifikate, Tokens zur Authentisierung und andere Informationen enthalten. Diese Daten sind vorerst unabhängig von der Applikation selbst und müssen eigenständig überprüft werden. Sind sie einmal im Repository vorhanden, ist es sehr schwer sie von dort wieder zu entfernen. Zusätzlich kann jeder, der Zugriff auf das Repository hat, diese Informationen einsehen. Die Speicherung dieser Daten geschieht oft versehentlich. Bei einem Private Key für ein Zertifikat würde das zum Beispiel bedeuten, dass alle Zertifikate, die auf diesem Private Key beruhen, ausgetauscht werden müssen.

Doch es gibt eine Reihe von Tools, die Entwickler verwenden können, um Schwachstellen im Zugangs-Management zu verhindern. Insbesondere Methoden wie Account-Sperrungen oder CAPTCHA-Herausforderungen nach einer bestimmten Anzahl fehlgeschlagener Anmeldungen sind zum Schutz gegen automatisierte Angriffe hilfreich. Alternative Identitätsüberprüfung ohne Passwort wie OAuth, OpenID, UAF oder SAML (Security Assertion Markup Language) sind für einige Webanwendungen ebenfalls eine sinnvolle Lösung.“