Skip to content

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 15

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie eine fehlerhafte Passwortprüfung oder nicht eindeutige Benutzernamen. Die können auch entstehen, wenn es Missverständnisse gibt. Ein weiteres Problem sind vorhersagbare Benutzernamen und Passwörter. Aber selbst die sichersten Zugangsdaten sind gefährdet, wenn es keine

Sichere Datenübertragung

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 15" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 14

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie eine fehlerhafte Passwortprüfung oder nicht eindeutige Benutzernamen. Die können auch entstehen, wenn es Missverständnisse gibt. Ein weiteres Problem sind

Vorhersagbare Benutzernamen und Passwörter

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 14" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 13

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie eine fehlerhafte Passwortprüfung oder nicht eindeutige Benutzernamen. Die können auch entstehen, wenn es

Missverständnisse

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 13" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 12

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery"-, "Remember me"- oder "User Impersonation"-Funktion können zur Gefahr werden. Genauso wie

Fehlerhafte Passwortprüfungen

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 12" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 11

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery-" oder "Remember me"-Funktion können zur Gefahr werden. Genauso wie eine

Unsichere "User Impersonation"

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 11" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 10

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset oder eine unsichere "Recovery-Funktion" können zur Gefahr werden. Genauso wie eine

Unsichere "Remember me"-Funktion

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 10" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 9

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der Passwort-Reset kann zur Gefahr werden. Ebenso wie eine

Unsichere "Recovery-Funktion"

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 9" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 8

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die Funktion zur Passwortänderung. Und auch der

Passwort-Reset muss sicher sein

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 8" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 7

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B. unsicher gespeicherte Passwörter. Auch nicht ungefährlich ist die

Funktion zur Passwortänderung

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 7" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten und die unsichere Verwendung von HTTPS. Aber auch Funktionen rund um die Passwortverwaltung können zu einer Schwachstelle werden, z.B.

Unsicher gespeicherte Passwörter

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 6" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5

Weiter geht es mit der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP. Zur Zeit sind wir beim Punkt 2: "Insufficient Authentication/Authorization".

Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Ein weiteres Problem sind ungeschützt übertragene Zugangsdaten. Dazu habe ich noch einen Punkt hinzuzufügen:

Unsichere Verwendung von HTTPS

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 5" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter sowie Brute-Force- und Wörterbuch-Angriffe, die durch verräterische Fehlermeldungen erleichtert werden können. Das nächste Problem sind

Ungeschützt übertragene Zugangsdaten

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 4" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben. Ebenso erste Angriffe: Default-Zugangsdaten und schlechte (= unsichere) Passwörter. Als nächstes kommt:

Der digitale Vorschlaghammer - Brute-Force- und Wörterbuch-Angriffe

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization". Die verschiedenen Möglichkeiten zur Authentifizierung habe ich bereits beschrieben, jetzt gucken wir doch mal, wie man die Authentifizierung angreifen kann.

Authentifizierung: Schwachstellen und Angriffe

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2" vollständig lesen

Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 1

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir beim Punkt 2 angekommen: "Insufficient Authentication/Authorization".

Bei der Authentifizierung wird geprüft, ob der Benutzer (oder auch ein Server, Client, ...) der ist, der er zu sein vorgibt. Gibt es dabei eine Schwachstelle, kann sich ein Angreifer als jemand anderes ausgeben. Nach der Authentifizierung gibt es teilweise noch eine Autorisierung: Darf der Benutzer das, was er machen möchte, überhaupt? Eine Schwachstelle dabei führt dazu, dass der Benutzer etwas tun kann, das er eigentlich gar nicht tun darf. Z.B. als normaler, authentifizierter Benutzer eine eigentlich nur einem authentifizierten Administrator erlaubte Funktion nutzen. Oder auch Funktionen ohne eigentlich nötige Authentifizierung nutzen.

Ohne Authentifizierung keine Sicherheit

"Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 1" vollständig lesen