Authentification défaillante
Qu'est-ce que Authentification défaillante ?
Authentification défaillanteCatégorie de vulnérabilités où des failles d'authentification ou de gestion de session permettent à un attaquant d'usurper des comptes légitimes.
L'authentification défaillante couvre toute faille permettant de contourner la vérification d'identité d'une application : mots de passe faibles acceptés, absence de protection contre la force brute, jetons de session prévisibles ou sans expiration, flux de réinitialisation peu sûrs, MFA absent, défauts de signature JWT, stockage en clair des identifiants. Elle figure de longue date au Top 10 OWASP et constitue la base du credential stuffing et du détournement de comptes. Les défenses : mots de passe uniques et forts, MFA, limitation de débit et verrouillage, stockage robuste (Argon2/bcrypt avec sel), jetons de session signés à courte durée et flux de récupération audités.
● Exemples
- 01
Application qui place l'ID de session dans l'URL et ne le renouvelle pas après login.
- 02
Réinitialisation de mot de passe avec un jeton numérique à 4 chiffres envoyé par e-mail.
● Questions fréquentes
Qu'est-ce que Authentification défaillante ?
Catégorie de vulnérabilités où des failles d'authentification ou de gestion de session permettent à un attaquant d'usurper des comptes légitimes. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Authentification défaillante ?
Catégorie de vulnérabilités où des failles d'authentification ou de gestion de session permettent à un attaquant d'usurper des comptes légitimes.
Comment se défendre contre Authentification défaillante ?
Les défenses contre Authentification défaillante combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Authentification défaillante ?
Noms alternatifs courants : Défauts d'identification et d'authentification, Contournement d'authentification.