Uygun kimlik doğrulama ve oturum yönetimi, İnternet uygulama
güvenliği için kritiktir. Bu alandaki kusurlar sıklıkla, kimlik bilgisi ve
oturum işaretlerini kendi döngüleri boyunca korumada bozukluğu ihtiva eder. Bu
kusurlar, kullanıcı veya idare hesapları korsanlığına, kimlik doğrulama ve
hesap sorumluluğu kontrollerinin çökmesine ve gizlilik ihlallerine sebep
olabilir.
Ana kimlik doğrulama mekanizmasında kusurlar, seyrek
değildir, fakat zayıf noktalar daha çok, çıkış, parola yönetimi, zaman aşımı,
beni hatırla, gizli soru ve hesap güncelleştirmesi gibi yardımcı kimlik
doğrulama fonksiyonları boyunca ortaya çıkar.
● Sadece yerleşik oturum yönetim mekanizması kullanılmalı. Herhangi bir koşul altında
ikincil oturum denetimcisini yazmamalı veya kullanılmamalı;
● URL ile veya istekle gelen yeni, önceden ayarlanmış veya
geçersiz oturum tanıyıcıları kabul edilmemeli. Bu saldırı türü, oturum tespit
saldırısı olarak isimlendirilir.
● Kimlik doğrulama veya oturum yönetimi amaçları için özel
(custom) çerezlerin kodu sınırlanmalı veya defedilmeli, örneğin "Beni
Hatırla" tipi veya kurum bilgi sistemleri için tek giriş (sigle sign on)
fonksiyonları gibi. Bu, güçlü, iyice kanıtlanmış SSO (Single Sign On – tek
imzayla giriş / Web Çoklu Oturum Açma) veya birleşmiş kimlik doğrulama
çözümlerini uygulanmaz;
● Uygun dayanıklılığa ve etmene bağlı tek bir kimlik
doğrulama mekanizması kullanılmalı. Bu
mekanizmanın, kolayca yanıltmaya veya tekrarlanan saldırılara maruz
bırakılamadığına emin olunmalı. Bu mekanizma fazla karmaşık olmamalıdır, sonra
bu karmaşıklık esas saldırı şekline dönüşebilir.
● Şifrelenmemiş bir sayfadan oturum açma işleminin
başlamasına izin verilmemelidir. Kimlik veya oturum bilgilerini çalmayı, parola
balıkçılığı (phishing) ve oturum belirleme saldırısını engellemek için yeni
veya güncel oturum jetonu (token) ile şifrelenmiş ikinci bir sayfadan oturum
açma işlemi yapılmalıdır.
● Başarılı kimlik doğrulama veya hak seviye değişikliği
üzerine yeni bir oturum oluşturma göz önüne alınmalıdır.
● Her sayfada bir oturumu kapatma bağlantısı olduğu garanti
edilmelidir. Oturum kapatma işlemi,bütün sunucu tarafı oturum durumunu ve
kullanıcı tarafı çerezlerini yok etmelidir. İnsan faktörleri düşünülmeli:
Doğrulama için soru sorulmamalı çünkü kullanıcılar, başarılı bir şekilde
oturumu kapatmak yerine, pencere veya sekme kapatmayı seçecektir.
● Korunan verinin değerine göre etkin olmayan bir oturumdan
otomatik olarak dışarı çıkartan bir zaman aşımı periyotu kullanılmalı. (Kısa
periyot her zaman daha iyidir)
● Sadece kuvvetli yardımcı kimlik sorgulama fonksiyonları
kullanılmalı (soru ve cevaplar, parola yenilemesi gibi), çünkü bunlarda
kullanıcı isimleri, parolaları veya jetonlar gibi kimlik bilgisidir.Açığa
çıkarma saldırılarını engellemek için cevaplara tek yönlü kriptografik özeti
kullanılmalıdır.
● Herhangi bir oturum tanımlayıcısı veya URL veya günlük
kayıtları içindeki geçerli kimlik bilgileri herhangi bir kısmı açıklanmamalıdır
(günlük dosyalarına kullanıcının şifresi depolanmamalı veya hiçbir oturum
tekrar yazılmamalıdır).
● Kullanıcı, şifresini değiştireceği zaman, eski şifresi
kontrol edilmelidir.
● Kimlik doğrulamanın biricik biçimi olarak hileli
olabilecek kimlik bilgilerine güvenilmemeli, örneğin IP
adresleri veya adres
aralığı, DNS veya ters DNS aramaları, başvuru başlığı ve benzerleri.
● Kaydedilen e-posta adreslerine, şifre yenilemesi için
mekanizma olarak, gizli bilgileri yollarken dikkatli olunmalı (Referanslarda
RSNAKE01’e bakınız). Erişimi yenilemek için sadece-sınırlı-zaman
(limited-time-only) rastgele sayıları kullanılmalı ve şifre yenilenir
yenilenmez takip eden (bilgilendirici) e-posta gönderilmelidir. E-posta
adresini değiştiren kullanıcılar kendi kaydettikleri e-postayı kullanırken
dikkatli olunmalı, değişikliği uygulamadan önce, önceki e-posta adresine bir
mesaj yollanmalıdır.
Kaynakça : Tübitak
Kaynakça : Tübitak
Hiç yorum yok:
Yorum Gönder