Autenticação quebrada
O que é Autenticação quebrada?
Autenticação quebradaCategoria de vulnerabilidades em que falhas de autenticação ou gestão de sessão permitem a um atacante personificar utilizadores legítimos ou assumir contas.
A autenticação quebrada engloba qualquer falha que permita contornar a verificação de identidade de uma aplicação: senhas fracas aceites, falta de proteção contra força bruta, tokens de sessão previsíveis ou sem expiração, fluxos de redefinição inseguros, ausência de MFA, falhas na assinatura JWT, armazenamento em texto claro. Faz parte recorrente do OWASP Top 10 e é a base do credential stuffing e da tomada de contas. Defesas: senhas únicas e robustas, MFA, limitação de taxa e bloqueio, armazenamento seguro (Argon2/bcrypt com salt), tokens de sessão assinados de vida curta e fluxos de recuperação auditados.
● Exemplos
- 01
Aplicação que coloca IDs de sessão no URL e não os renova após o login.
- 02
Redefinição de senha com token numérico de 4 dígitos enviado por e-mail.
● Perguntas frequentes
O que é Autenticação quebrada?
Categoria de vulnerabilidades em que falhas de autenticação ou gestão de sessão permitem a um atacante personificar utilizadores legítimos ou assumir contas. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Autenticação quebrada?
Categoria de vulnerabilidades em que falhas de autenticação ou gestão de sessão permitem a um atacante personificar utilizadores legítimos ou assumir contas.
Como se defender contra Autenticação quebrada?
As defesas contra Autenticação quebrada costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Autenticação quebrada?
Nomes alternativos comuns: Falhas de identificação e autenticação, Bypass de autenticação.