einem Ausweis vergleichen, der zweifelsfrei beweisen soll, dass man tatsächlich diejenige Person ist, für die man sich ausgibt
Was steckt dahinter?
Authentifizierung lässt sich am besten mit einem Ausweis vergleichen, der zweifelsfrei beweisen soll, dass man tatsächlich diejenige Person ist, für die man sich ausgibt. Broken Authentication beschreibt eine ganze Kategorie von Sicherheitslücken, bei denen genau dieser Überprüfungsprozess fehlerhaft umgesetzt ist – vergleichbar mit einem Sicherheitsdienst, der zwar nach einem Ausweis fragt, dabei aber so nachlässig oder fehlerhaft prüft, dass sich Unbefugte mit gefälschten oder sogar offensichtlich falschen Dokumenten trotzdem problemlos Zutritt verschaffen können. Typische Ursachen für Broken Authentication umfassen unzureichend abgesicherte Session-Verwaltung, bei der gestohlene Sitzungs-Cookies wiederverwendet werden können, fehlende Begrenzungen bei Login-Versuchen, die Brute-Force-Angriffe erst ermöglichen, oder unsicher implementierte Passwort-Zurücksetzungsfunktionen, über die sich Angreifer unter Umständen Zugriff auf fremde Konten verschaffen können, ohne das eigentliche Passwort überhaupt zu kennen. Auch fehlerhaft konfigurierte Middleware, die eigentlich die Anmeldeprüfung übernehmen sollte, kann eine Ursache für Broken Authentication darstellen. Die Folgen erfolgreich ausgenutzter Authentifizierungsschwächen reichen von der einfachen Übernahme eines einzelnen Nutzerkontos bis hin zu deutlich schwerwiegenderen Szenarien wie Privilege Escalation, bei der sich ein Angreifer über ein kompromittiertes, niedrig berechtigtes Konto schrittweise höhere Zugriffsrechte verschafft. Moderne Frameworks bringen heute in der Regel solide, gut getestete Authentifizierungsmechanismen von Haus aus mit, weshalb Entwickler gut beraten sind, auf etablierte, breit erprobte Lösungen zurückzugreifen, statt eigene, potenziell fehleranfällige Authentifizierungslogik komplett selbst zu entwickeln.