Login  |Hazte alumno gratis

Sesión 3: Autenticación rota (Broken Authentication)

Publicada el por networknomad

Guía de Seguridad en Aplicaciones Web: OWASP Top 10

Objetivo de la sesión

En esta sesión, vamos a explorar los problemas comunes en los sistemas de autenticación que pueden exponer las aplicaciones a ataques de acceso no autorizado. Además, aprenderemos sobre los métodos de ataque más comunes, como el credential stuffing y los ataques de fuerza bruta. Finalmente, discutiremos las buenas prácticas de autenticación y cómo implementar medidas de seguridad, como la autenticación multifactor (MFA) y el almacenamiento seguro de contraseñas, para proteger nuestras aplicaciones.

¿Qué es la autenticación rota?

La autenticación rota se refiere a una vulnerabilidad en el proceso de autenticación de un sistema, que permite a los atacantes eludir los controles de acceso y obtener privilegios no autorizados. A menudo, esto ocurre cuando las contraseñas o los mecanismos de autenticación no se gestionan correctamente o son demasiado débiles, lo que da lugar a accesos no autorizados a las cuentas de los usuarios.

Los sistemas de autenticación rota permiten a los atacantes realizar diversas acciones, como:

  • Acceder a cuentas de usuario sin tener las credenciales correctas.
  • Realizar ataques de credential stuffing o fuerza bruta.
  • Evadir medidas de seguridad si el proceso de autenticación no es suficientemente robusto.

Métodos de ataque comunes en la autenticación rota

  1. Credential stuffing
    • Descripción: Este ataque implica el uso de combinaciones de nombre de usuario y contraseña robadas de otras brechas de seguridad para intentar acceder a cuentas en otros servicios. Los atacantes usan herramientas automatizadas para hacer intentos rápidos y masivos con credenciales robadas.
    • Cómo funciona: Si un usuario reutiliza su contraseña en varios sitios web, los atacantes pueden aprovechar las bases de datos de credenciales filtradas para intentar acceder a múltiples cuentas con las mismas credenciales.
    • Impacto: Si el sitio web no tiene protecciones contra este tipo de ataque, los atacantes pueden obtener acceso a cuentas sin tener que descifrar contraseñas ni realizar otros esfuerzos.
  2. Ataques de fuerza bruta
    • Descripción: Un ataque de fuerza bruta implica que un atacante intente todas las combinaciones posibles de contraseñas hasta encontrar la correcta. Este tipo de ataque puede ser efectivo si la contraseña es débil o si no se implementan medidas para limitar los intentos de inicio de sesión.
    • Cómo funciona: El atacante automatiza el proceso de prueba de contraseñas usando herramientas especializadas que hacen millones de intentos en poco tiempo.
    • Impacto: Si no se bloquean los intentos repetidos o no se establece un límite de tiempo entre intentos, el atacante puede adivinar la contraseña correcta, obteniendo acceso no autorizado.

Buenas prácticas de autenticación

  1. Políticas de contraseñas robustas
    • Requisitos de longitud y complejidad: Establecer políticas que obliguen a los usuarios a crear contraseñas seguras, con un mínimo de caracteres y que contengan una combinación de mayúsculas, minúsculas, números y caracteres especiales.
    • Ejemplo de política:
      • Contraseña mínima de 8 caracteres.
      • Uso de al menos una mayúscula, una minúscula, un número y un carácter especial.
      • Expiración de contraseñas después de un periodo determinado (aunque este aspecto está siendo reconsiderado en algunos contextos).
  2. Autenticación multifactor (MFA)
    • Qué es: La autenticación multifactor (MFA) requiere que el usuario proporcione dos o más factores para verificar su identidad. Los factores suelen ser algo que el usuario sabe (como una contraseña), algo que el usuario tiene (como un dispositivo móvil o un token de seguridad), o algo que el usuario es (como una huella dactilar o reconocimiento facial).
    • Cómo funciona: Después de que el usuario ingresa su contraseña, el sistema le pide un segundo factor de autenticación, como un código enviado a su teléfono o generado por una aplicación de autenticación (por ejemplo, Google Authenticator).
    • Beneficios: Incluso si un atacante obtiene las credenciales de un usuario (por ejemplo, mediante un ataque de credential stuffing), no podrá acceder a la cuenta sin tener el segundo factor de autenticación.
  3. Almacenamiento seguro de contraseñas
    • Hashing de contraseñas: En lugar de almacenar las contraseñas directamente en la base de datos, se deben hashear. El hash es un proceso unidireccional que convierte la contraseña en una cadena irreconocible.
    • Algoritmos recomendados:
      • bcrypt: Utiliza un enfoque de salting y key stretching, lo que lo hace muy resistente a ataques de diccionario y fuerza bruta.
      • argon2: Un algoritmo moderno recomendado por su resistencia tanto a ataques de fuerza bruta como a ataques paralelos (GPU, ASIC).
    • Salting: El uso de una «sal» (un valor aleatorio único) antes de hacer el hash asegura que incluso si dos usuarios tienen la misma contraseña, sus hashes serán diferentes.
    • Nunca almacenar contraseñas en texto claro: Nunca debes almacenar contraseñas sin procesarlas, ni en texto plano ni con un hash débil como MD5 o SHA1, ya que son vulnerables a ataques de diccionario.

Práctica recomendada: Implementación básica de autenticación segura con hashing y MFA

En esta parte de la sesión, aprenderás cómo implementar un sistema de autenticación básico utilizando buenas prácticas de seguridad.

Hashing de contraseñas

Implementación en PHP con bcrypt:

// Hash de la contraseña
$hashedPassword = password_hash($password, PASSWORD_BCRYPT);

// Verificación de la contraseña
if (password_verify($password, $hashedPassword)) {
    echo "Contraseña correcta";
} else {
    echo "Contraseña incorrecta";
}

Implementación de autenticación multifactor (MFA)

Generación de un código de un solo uso (OTP) con una biblioteca como Google Authenticator o una API de terceros:

  • En el proceso de autenticación, después de que el usuario ingresa la contraseña, se le pedirá un código OTP.
  • El código OTP puede ser enviado por mensaje de texto o generado por una aplicación de autenticación como Google Authenticator.

Verificación de OTP: Después de que el usuario ingresa el código OTP, se verifica con el servidor, y si es correcto, se le concede acceso.php

// Ejemplo de verificación de OTP utilizando la librería PHP de Google Authenticator
require_once 'GoogleAuthenticator.php';

$gAuth = new GoogleAuthenticator();
$secret = 'SECRET_KEY'; // La clave secreta proporcionada al usuario

$otp = $_POST['otp'];
if ($gAuth->verifyCode($secret, $otp)) {
    echo "Autenticación exitosa";
} else {
    echo "Código incorrecto";
}

    Resumen de la sesión

    La autenticación rota es una de las principales vulnerabilidades de seguridad que pueden permitir el acceso no autorizado a las aplicaciones. Para mitigar estos riesgos, es esencial:

    • Implementar políticas de contraseñas seguras.
    • Utilizar la autenticación multifactor (MFA) para agregar una capa adicional de seguridad.
    • Almacenar contraseñas de manera segura utilizando algoritmos de hash como bcrypt o Argon2.
    • Proteger la aplicación contra ataques de credential stuffing y fuerza bruta mediante medidas como la limitación de intentos de inicio de sesión y la implementación de técnicas de protección como CAPTCHA.

    Siguiendo estas mejores prácticas, puedes asegurar que el proceso de autenticación en tu aplicación sea robusto y resistente a los ataques.

    ← Anterior Siguiente →