Несколько лет назад я перешел из Offensive в Defensive и пытаюсь вместе с командой решить одну из главных задач отдела Application Security — усложнить массовый захват аккаунтов и самое сложное — таргетированные атаки. И, как оказалось, если ваш сервис имеет веб-аутентификацию и десятки или сотни миллионов пользователей в месяц — вы попадаете в ловушку из-за отсутствия безопасных и доступных подходов аутентификации пользователей. Давайте обо всем по порядку — пройдемся по текущим механизмам, выделим их проблемы и сделаем предположение, как мы бы все-таки могли исправить текущую ситуацию.
Захват аккаунта может произойти на трех стадиях:
- Вход в аккаунт
- В аккаунт уже вошли и перехватили сессию
- Восстановление аккаунта
Читать далее «Современный Интернет не предоставляет механизмов предотвращения захвата аккаунтов. FIDO2 — классно, но нас не спасет»Удостоверься, что ко мне пришел тот же пользователь, что и проходил регистрацию
Задача аутентификации в типичном веб-приложении