¿Sabes qué es Broken Authentication? La organización sin ánimo de lucro que vela por la concienciación acerca de la ciberseguridad de las aplicaciones web, OWASP, cuenta con un importante Top 10 que establece los ataques más comunes a este tipo de softwares. Dentro de ellos, se encuentra uno relacionado con la capacidad de una página web para verificar la identidad de un determinado usuario. En este post, hablaremos sobre este fallo de seguridad y te explicaremos qué es Broken Authentication y cómo evitar que ocurra en tus sistemas.
¿Qué es Broken Authentication?
El desarrollo de páginas web presenta la dificultad de que son muchas las áreas que se deben cubrir en términos de ciberseguridad. Un claro ejemplo de esto existe en los procesos de autenticación de un usuario, pues estos incluyen diversas funciones como el logout, las preguntas secretas de verificación, la recuperación de contraseñas, la función de «recuérdame», la actualización de la cuenta, etc. Los fallos relacionados con estas áreas se conocen comúnmente como Broken Authentication o fallos de autenticación y ocupan el puesto número 7 del ranking de OWASP Top 10.
El problema con estas vulnerabilidades es que le permiten a los atacantes ingresar al sistema, cambiar contraseñas o, incluso, crear nuevos usuarios. Por eso, representan uno de los peligros más comunes para las aplicaciones web. Por supuesto, aquellas que se encuentran más expuestas son las que no se configuran cuidadosamente para evitar este tipo de ciberataques.
¿Cómo solucionar un fallo de Broken Authentication?
Ahora que sabes qué es Broken Authentication, es hora de ver las soluciones que existen para este tipo de vulnerabilidades en aplicaciones web. Para ello, te ofrecemos las siguientes recomendaciones:
- Establece un tiempo límite para los links de recuperación de contraseñas. De este modo, si un atacante consigue acceder a uno, su ventana de ataque estará reducida al tiempo que le hayas dado como límite al usuario para cambiar su contraseña.
- Utiliza funciones hash seguras, ya que algunos softwares para generarlas se pueden anular fácilmente. El sistema SHA-256, por ejemplo, lo desarrolló la Agencia de Seguridad Nacional de Estados Unidos y es una alternativa mucho más segura que el MD5. Este último puede revertirse fácilmente, usando programas de consola o, incluso, páginas web que encontrarás fácilmente en Google.
¿Cómo aprender más?
Ya has aprendido qué es Broken Authentication, pero no dejes que tus conocimientos se detengan aquí. Si quieres especializarte en ciberseguridad, en KeepCoding tenemos la mejor opción para ti. Únete a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en un verdadero experto del sector IT en tan solo 7 meses. ¿A qué estás esperando? ¡Inscríbete ya y alcanza tus metas!
