Kommentar zum World Password Day von Veracode

Heute ist World Password Day. Zu diesem Anlass hat Julian Totzek-Hallhuber, Manager Solution Architects EMEA/APAC/LATAM bei Veracode, einen Kommentar verfasst, den wir Ihnen gerne zur Veröffentlichung anbieten. Für Rückfragen stehen wir Ihnen gerne zur Verfügung (Kontakte finden Sie unten).

„Der World Password Day heute erinnert uns alle daran, wie wichtig die Erkennung, Verhinderung und Behebung von Schwachstellen in Anwendungen beim Zugangs-Management ist. Denn mit Credentials-Management-Attacks versuchen Kriminelle, zusammengehörige Benutzernamen und Passwörter zu knacken, um so die Kontrolle über Benutzerkonten zu übernehmen. Deshalb führen Schwachstellen im Zugangs-Management zu enormen Sicherheitsrisiken und gefährden Systeme, Webseiten und Anwendungen. Je nach Zugriffsberechtigung der gehackten Konten können Angreifer Finanztransaktionen einleiten, Daten einschließlich personenbezogener Daten ändern oder stehlen, sich als authentifizierter Benutzer ausgeben, Malware installieren oder Zugriff auf weitere Daten und Systeme erhalten.

Es gibt eine Vielzahl an Methoden, wie Angreifer Schwachstellen im Zugangs-Management ausnutzen. So attackieren sie gerne Hard-Coded Credentials, die für die Speicherung von Passwörtern verwendet werden, oder kryptografische Schlüssel, die Zugangsdaten, Authentifizierung oder Kommunikationsinformationen verschlüsseln. Eine Analyse von Veracode zeigt: 40 % der mit Veracode-Tools gescannten Software haben in irgendeiner Form Schwachstellen im Credentials-Management. Die Verwendung von Hard-Coded Passwörtern war dabei die häufigste Schwachstellenursache. Deshalb ist es entscheidend, dass Anmeldedaten nicht in leichtzugänglichen Bereichen gespeichert werden. Außerdem sollten für die Verschlüsselung der gesamten Authentifizierungskommunikation keine fest codierten Verschlüsselungscodes verwendet werden.

Passwörter verstecken sich in einer Vielzahl von unterschiedlichen Bereichen einer Applikation. Sie können direkt im Code gefunden werden, um zum Beispiel eine Datenbankverbindung aufzubauen. Je nach Programmiersprache können diese Passwörter auch sehr leicht extrahiert und für Angriffe verwendet werden. In modernen Entwicklungsumgebungen werden Applikationen und alle zugehörigen Komponenten in Repositories gespeichert. Repositories können ebenfalls Passwörter, Private Keys für Zertifikate, Tokens zur Authentisierung und andere Informationen enthalten. Diese Daten sind vorerst unabhängig von der Applikation selbst und müssen eigenständig überprüft werden. Sind sie einmal im Repository vorhanden, ist es sehr schwer sie von dort wieder zu entfernen. Zusätzlich kann jeder, der Zugriff auf das Repository hat, diese Informationen einsehen. Die Speicherung dieser Daten geschieht oft versehentlich. Bei einem Private Key für ein Zertifikat würde das zum Beispiel bedeuten, dass alle Zertifikate, die auf diesem Private Key beruhen, ausgetauscht werden müssen.

Doch es gibt eine Reihe von Tools, die Entwickler verwenden können, um Schwachstellen im Zugangs-Management zu verhindern. Insbesondere Methoden wie Account-Sperrungen oder CAPTCHA-Herausforderungen nach einer bestimmten Anzahl fehlgeschlagener Anmeldungen sind zum Schutz gegen automatisierte Angriffe hilfreich. Alternative Identitätsüberprüfung ohne Passwort wie OAuth, OpenID, UAF oder SAML (Security Assertion Markup Language) sind für einige Webanwendungen ebenfalls eine sinnvolle Lösung.“

 

Über Veracode

Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform basiert auf Daten, die fast zwei Jahrzehnte lang gesammelt wurden und mehr als 130 Milliarden Codezeilen sichern. So können Entwicklungsteams in jeder Phase des modernen Softwareentwicklungszyklus kontinuierlich Schwachstellen einfach finden und beheben. Sicherheitsteams, Entwickler und Geschäftsführer in Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit für integrierte Prävention, Erkennung und Behebung im Bereich Software-Sicherheit. Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog https://www.veracode.com/blog, auf LinkedIn https://www.linkedin.com/company/veracode und Twitter https://twitter.com/Veracode?ref_src=twsrc%5Egoogle%7Ctwcamp%5Eserp%7Ctwgr%5Eauthor.

Firmenkontakt und Herausgeber der Meldung:

Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com

Ansprechpartner:
Benedikt Kübler
Telefon: +49 (89) 419599-32
E-Mail: veracode@maisberger.com
Christine Wildgruber
Telefon: +49 (89) 419599-27
E-Mail: veracode@maisberger.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel