Für Dienstleister ist der Umgang mit Kundenkonten und personenbezogenen Daten eine große Verantwortung. Die Verwaltung ihrer Sicherheit ist ein ständiger Kampf gegen neue Technologien und Angriffsarten.
Für Dienstleister ist der Umgang mit Kundenkonten und personenbezogenen Daten eine große Verantwortung. Die Verwaltung ihrer Sicherheit ist ein ständiger Kampf gegen neue Technologien und Angriffsarten.
Bei TIMIFY arbeiten wir ständig daran, sicherzustellen, dass unsere Lösung über die empfohlenen Sicherheitsmaßnahmen zum Datenschutz hinausgeht. Wir möchten, dass unsere Kunden beim Aufbau ihres Geschäfts mit unserer Software ein sicheres Gefühl haben.
Während Sicherheitsrisiken bei allen Ihren Vorgängen berücksichtigt werden sollten, fokussiert sich dieser Artikel speziell auf ein Problem, das als "Broken Authentication" bekannt ist.
Unter diesem Begriff wird das Ausnutzen einer schlechten Benutzerauthentifizierung und Sitzungsverwaltung verstanden, um die Identität eines echten Nutzers, seinen Zugang zum System und seine Daten zu stehlen.
Das „Open Web Application Security Project“ (OWASP), eine führende Organisation, die sich für die Verbesserung der Softwaresicherheit einsetzt, listet „Broken Authentication“ als die zweitgrößte Bedrohung für Softwaresysteme auf. Sie erklärt, dass ihre Verbreitung in der Regel auf das „Design und die Implementierung der meisten Identitäts- und Zugriffskontrollen“ zurückzuführen ist “.
“Sobald eine authentifizierte Sitzung eingerichtet wurde, entspricht die Sitzungs-ID (oder Token) vorübergehend der stärksten Authentifizierungsmethode, die von der Anwendung verwendet wird, wie Benutzername und Passwort, Passphrasen, Einmalpasswörter (OTP), client-basierte digitale Zertifikate, Smartcards oder Biometrie (wie Fingerabdruck oder Augennetzhaut).”
– OWASP Session Management Cheat Sheet
Um diese Bedrohung für TIMIFY-Kunden zu bekämpfen, haben wir zwei neue Funktionen eingeführt, die zusammen verwendet werden sollten, um Ihre Sitzungsverwaltung vor Angriffen zu schützen.
Auf diese Weise können Sie festlegen, wie lange eine hochsensible Sitzungs-ID für einen einzelnen Benutzer gültig ist, bevor er sich erneut anmelden muss, auch wenn er das System kontinuierlich nutzt.
Eine bewährte Sicherheitsmaßnahme ist es, diese so weit wie möglich zu verkürzen, um das Zeitfenster für einen Zugriff auf Ihr Konto durch einen Angreifer zu minimieren (unsere Standard-Dauer beträgt 48 Stunden).
Die Zeitlimits sind einfach einzurichten und können nach Tagen, Stunden oder Minuten angepasst werden.
Die folgenden Beispiele zeigen, wie schnell eine schlecht implementierte Sitzungsdauer ausgenutzt werden kann.
Ein Nutzer ist mit einem öffentlichen oder gemeinsam genutzten Computer bei TIMIFY angemeldet. Wenn er fertig ist, schließt er den Browser. Ist die Sitzungsdauer jedoch lang, kann ein Angreifer die Sitzung fortsetzen, indem er den Browser erneut öffnet.
Selbst wenn ein Benutzer vor dem Verlassen des Geräts auf den Abmelde-Button klickt, bleibt die Sitzungs-ID bei einer langen Sitzung bestehen und kann von überall ohne erneute Authentifizierung aufgerufen werden.
Um eine Sitzung zu übernehmen, muss nicht einmal jemand physisch auf Ihren Computer zugreifen. Die Verwendung von TIMIFY in einem unsicheren oder öffentlichen WLAN bietet einem Angreifer die Möglichkeit, Ihre Browser- oder Internet-Cookies abzufangen und diese für den Zugriff auf Ihre Sitzung ohne erneute Authentifizierung zu verwenden.
Auch hier gilt, wenn die Sitzung lang ist, bietet dies dem Angreifer ein längeres Zeitfenster, um Zugang zu erhalten.
Neben der Verkürzung der Sitzungsdauer können Sie mit TIMIFY die Sicherheit weiter erhöhen, indem Sie das Beenden einer Sitzung nach einer bestimmten Zeit, in der ein Nutzer inaktiv war, erzwingen.
Nach einer festgelegten Zeit der Inaktivität werden Nutzer aufgefordert, zu bestätigen, dass sie noch aktiv im Konto sind. Wenn sie nicht antworten, werden sie abgemeldet.
Dies schützt vor Angreifern, die sich über einen eingeloggt Rechner, der nur wenige Augenblicke unbeaufsichtigt ist, Zugriff auf Ihr System verschaffen.
Dies kann besonders für Serviceanbieter relevant sein, bei denen Mitarbeiter häufig gemeinsam genutzte oder tragbare Geräte verwenden, während sie gleichzeitig den Service erbringen und durch eine persönliche Interaktion abgelenkt werden.
Wie Sie das Zeitlimit für die Abmeldung nach Inaktivität genau festlegen sollten, hängt von den gespeicherten Daten ab. OWASP gibt einige allgemeine Anhaltspunkte:
“OWASP empfiehlt kurze Zeiten der Inaktivität (2-5 Minuten) für risikoreiche Daten wie Finanzinformationen. Längere Leerlaufzeiten (15-30 Minuten) sind akzeptabel für Anwendungen mit geringem Risiko.”
– Auth0 blog - Balance User Experience and Security to Retain Customers
Die folgenden Szenarien zeigen, wie eine fehlende Abmeldung bei Inaktivität von Angreifern schnell manipuliert werden kann.
Ein Physiotherapeut hat möglicherweise einen Laptop oder ein Tablet in einem Behandlungsraum, um Kundendaten zur Hand zu haben, lässt das Gerät jedoch häufig zurück, während er andere behandelt oder Equipment holt.
Ebenso kann auf Computern in einem Großraumbüro, einem gemeinsamen Arbeitsplatz oder einem Empfangsbereich zugegriffen werden, wenn Mitarbeiter einen Computer verlassen, um einem Besucher zu helfen, in die Küche zu gehen oder sich frisch zu machen.
In wenigen Augenblicken kann ein Angreifer die Kontrolle über den Computer übernehmen und hat durch einen autorisierten Nutzer Zugriff auf Ihre Daten oder kann Zugangsinformationen zur späteren Verwendung stehlen.
Ein Arbeitslaptop könnte im Zug oder in einem Café liegen bleiben oder einfach von einem Dieb gestohlen werden.
Wenn es keine Abmeldung bei Inaktivität gibt, kann ein Angreifer einfach den Computer nehmen und später auf Ihr TIMIFY-Konto zugreifen, wenn er sich nicht mehr in einem öffentlichen Bereich befindet.
Bei einer kurzen Zeitspanne bis zur Abmeldung ist das Zeitfenster für einen Angreifer, um einen öffentlichen Bereich auszunutzen, sehr klein und riskant.
Natürlich werden die meisten Teams nicht begeistert sein, dass sie regelmäßig von ihrem Konto abgemeldet und gezwungen werden, ihre Daten erneut einzugeben.
Jedoch ist es eine häufige Änderungsanfrage für die Mobil- und Tablet-Apps von TIMIFY. Hier wird der Nutzer gezwungen, sich jedes Mal anzumelden, wenn er die App erneut öffnet, da die Mobilität mit einem erhöhten Risiko verbunden ist.
Daher ist es wichtig, allen Mitarbeitern zu verdeutlichen, warum diese neuen Funktionen eingeführt werden.
Besprechen Sie mit Ihren internen Sicherheitsexperten eine angemessene Sitzungsdauer und eine Abmeldung bei Inaktivität, um ein entsprechendes Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit zu finden.
Stellen Sie außerdem sicher, dass Ihre Mitarbeiter verstehen, wie effektiv einfache Maßnahmen für den Datenschutz wie eine verkürzte Sitzungsdauer und Abmeldung bei Inaktivität gegen „Broken Authentication“-Angriffe sind.
Die geringfügige Unannehmlichkeit wiederholter Anmeldungen steht in keinem Verhältnis zum Schaden, den eine Datenverletzung dem Unternehmen, seinem Ruf und seinen Kunden zufügen könnte.
Zögern Sie nicht – kontaktieren Sie unser TIMIFY-Team, um weitere Informationen und Tipps zur Optimierung Ihrer Sitzungsverwaltung so schnell wie möglich zu erhalten.