对于服务提供商来说,处理客户账户和个人数据是一项巨大的责任,管理他们的安全是一场针对新技术和新攻击类型的持续斗争。
在 TIMIFY,我们不断努力确保我们的解决方案超越推荐的安全措施,帮助我们的客户在围绕我们的系统开展业务时安心。
对我的生意有什么威胁?
虽然在所有操作中都应考虑安全风险,但本文专门关注称为“身份验证中断”的问题。
这是指攻击者利用不良的用户身份验证和会话管理功能来劫持真正的用户身份及其对您的系统和数据的访问。
开放式 Web 应用程序安全项目 (OWASP) 是一家致力于提高软件安全性的领先组织,它将破坏性的身份验证列为软件系统的第二大威胁,并指出其普遍存在通常是由于“大多数身份和访问控制的设计和实施”。
“一旦建立了经过身份验证的会话,会话 ID(或令牌)就暂时等同于应用程序使用的最强身份验证方法,例如用户名和密码、密码短语、一次性密码 (OTP)、基于客户端的数字证书、智能卡或生物识别技术(例如指纹或眼视网膜)。”
–
OWASP 会话管理备忘单
为了帮助 TIMIFY 客户抵御这种威胁,我们推出了两项新功能,应结合使用以帮助保护您的会话管理免受攻击。
减少会话长度
这样,您就可以设置在要求单个用户再次登录之前,其高度敏感的会话 ID 的有效时间,即使他们一直在连续使用该系统。
对于用户会话,最佳安全实践建议应尽可能缩短会话时间,以尽量减少攻击者访问您帐户的机会(我们的默认时间为 48 小时)。
时间限制设置很简单,可以按天、小时或分钟进行调整。
下面的例子表明,不良的会 泰国 whatsapp 购物数据 话长度是多么容易被利用。
公共或共享计算机上的用户登录 TIMIFY。完成后,他们会关闭浏览器。但是,如果会话长度较长,攻击者只需重新打开浏览器即可继续会话。
即使用户在离开设备之前单击了注销按钮,如果会话很长,会话 ID 仍然存在,并且可以从任何地方访问而无需重新进行身份验证。
减少会话长度以保护您的会话 ID
劫持用户会话甚至不需要有人物理访问您的机器。在不安全或公共 Wi-Fi 上使用 TIMIFY 会让攻击者有机会拦截您的浏览器或互联网 cookie,并使用它们访问您的会话而无需重新进行身份验证。
同样,如果会话很长,这将为攻击者提供更长的获取访问权限的机会。