بررسی Weak Password Policy
در این بخش از دوره آموزشی OWASP-WSTG به چهارمین بخش از استاندارد WSTG با شناسه WSTG-ATHN-07 می پردازیم که مربوط به بررسی Weak Password Policy می باشد.
خلاصه
رایجترین و سادهترین مکانیزم احراز هویت اجرا شده در برنامهها، یک رمز عبور ایستا است. در هر یک از هکهای اخیر که Credential های کاربران در آن افشا شده است، شکایت بر این است که اکثر رمزهای عبور رایج هنوز عبارتند از: ۱۲۳۴۵۶، password و qwerty .
اهداف تست
بررسی مقاومت برنامه در برابر حدس کلمه عبور با استفاده از دیکشنریهای کلمه عبور موجود
ارزیابی طول، پیچیدگی، استفاده مجدد و الزامات مورد نیاز کلمه عبور
چگونه تست را انجام دهیم
- چه کاراکترهایی برای استفاده در یک گذرواژه مجاز و چه کاراکترهایی ممنوع هستند؟
- آیا کاربر نیاز به استفاده از مجموعه کاراکترهای مختلف مانند حروف کوچک و بزرگ، ارقام و نمادهای خاص را دارد؟
- یک کاربر چند بار میتواند رمز عبور خود را تغییر دهد؟
- بعد از تغییر قبلی، کاربر با چه سرعتی میتواند رمزعبور خود را تغییر دهد؟
- کاربران میتوانند با تغییر رمز ورود خود به صورت 5 بار پشت سر هم، الزامات تاریخچه رمز عبور را دور بزنند تا پس از آخرین تغییر، رمزعبور اولیه خود را دوباره پیکربندی کنند.
- چه زمانی یک کاربر باید رمز عبور خود را تغییر دهد؟
- هر دو استاندارد NIST و NCSC در برابر اجباری کردن انقضای کلمه عبور منظم نظر متفاوتی داشته و آن را توصیه نمیکنند، اگرچه این موضوع ممکن است توسط استانداردهایی مانند PCI DSS مورد نیاز باشد.
- یک کاربر چند وقت یکبار میتواند از یک گذرواژه استفاده کند؟ آیا برنامه سابقه ۸ کلمه عبور مورد استفاده قبلی کاربر را حفظ میکند؟
- گذرواژه بعدی چقدر باید با آخرین گذرواژه متفاوت باشد؟
- آیا کاربر از استفاده نام کاربری خود یا دیگر اطلاعات حساب (مانند نام کاربری یا نامخانوادگی)در رمز عبورش منع میشود؟
- حداقل و حداکثر طول گذرواژه که میتوان تنظیم کرد چه تعداد هستند و آیا برای حساسیت حساب و برنامه مناسب هستند؟
- آیا این امکان وجود دارد که گذرواژههای عمومی مانند Password1 یا ۱۲۳۴۵۶ تنظیم شوند؟
remediation
برای کاهش ریسک مربوط به رمزهای عبوری که بهسادگی قابل حدس زدن میباشند و دسترسی غیر مجاز را تسهیل میکنند، دو راهحل وجود دارد:
معرفی کنترلهای احراز هویت اضافی (یعنی احراز هویت دو عاملی)یا معرفی یک سیاست رمز عبور قوی.
سادهترین و ارزانترین اینها معرفی یک سیاست رمز عبور قوی است که طول رمز عبور، پیچیدگی، استفاده مجدد و عمر را تضمین میکند؛ هر چند به طور ایدهآل هر دو روش باید به کار گرفته شوند.
