| Přihlašování heslem | • nejčastější způsob autentizace
• nejjednodušší na implementaci
• jednoduchý́ a známý pro uživatele
• nejméně bezpečný
postup
1) uživatel zadá heslo
2)jmeno a heslo se odešlou aplikaci na server
3) aplikace oveří jmeno a heslo
4) aplikace zobrazí výsledek ověření |
| Doporučení pro používání hesel | • Nepoužívat slabá hesla
• Nepoužívat všude stejné heslo
• Používat správce hesel
• Používat dvoufázové ověření
• Vyhnout se používání veřejných počítačů
• Pozor na ověření pomocí otázky
• Udržovat svůj počítač v dobré kondici |
| Útoky na hesla | • útočník zkouší hesla
• útočník odchytává/upravuje síťový provoz
• útočník získá uložená hesla
• útočník napadne aplikaci
• útočník napadne webový prohlížeč
• útočník ovlivní uživatele |
| ÚTOKY na webovou aplikaci | Spuštění nebo načtení souboru
Krádež session
Cross Site Scripting (XSS)
Clickjacking (Click Hijacking) |
| Spuštění nebo načtení souboru | V případech, kdy se pomocí parametru načítá nebo spouští soubor z disku a není správně
kontrolován vstup, lze aplikaci přesvědčit k přečtení špatného souboru.Nejjednodušší obranou je striktní kontrola parametrů dle seznamu
povolených hodnot. |
| Krádež session | Uživateli je při prvním přístupu do aplikace
vytvořeno sezení a je přidělena jeho identifikace pomocí cookie nebo pomocí předávání v
URL.
Mechanizmus sezení je možné zneužít. Stačí získat identifikátor sezení a následně můžeme
předstírat korektně přihlášeného uživatele.Proto je nutné identifikátory sezení generovat
opravdu náhodně (s rovnoměrným rozložením) a ještě lépe kontrolovat i IP adresu uživatele. |
