Dokumentasi<Sebelumnya | Konten | Selanjutnya>
11.4.4. Serangan Kata Sandi
Serangan kata sandi adalah serangan terhadap sistem otentikasi suatu layanan. Serangan ini sering dipecah menjadi serangan kata sandi online dan serangan kata sandi offline, yang akan Anda temukan di Serangan Kata Sandi kategori menu. Dalam serangan kata sandi online, beberapa kata sandi dicoba terhadap sistem yang sedang berjalan. Dalam serangan kata sandi offline, nilai kata sandi yang di-hash atau dienkripsi diperoleh dan penyerang mencoba untuk mendapatkan nilai teks yang jelas. Perlindungan terhadap serangan semacam ini adalah kenyataan bahwa secara komputasi mahal untuk bekerja melalui proses ini, membatasi jumlah upaya per detik yang dapat Anda hasilkan. Namun,
31https://www.owasp.org/index.php/Top_10_2013-Top_10
solusi untuk ini memang ada, seperti menggunakan unit prosesor grafis (GPU) untuk mempercepat jumlah upaya yang dapat dilakukan. NS kali-linux-gpu metapackage berisi sejumlah alat yang memanfaatkan kekuatan ini.
Paling umum, serangan kata sandi menargetkan kata sandi default yang disediakan vendor. Karena ini adalah nilai yang terkenal, penyerang akan memindai akun default ini, berharap beruntung. Serangan umum lainnya termasuk serangan kamus khusus di mana daftar kata dibuat yang telah disesuaikan dengan lingkungan target dan kemudian serangan kata sandi online terhadap akun umum, default, atau dikenal dilakukan di mana setiap kata dicoba secara berurutan.
Dalam penilaian, sangat penting untuk memahami konsekuensi potensial dari serangan semacam ini. Pertama, mereka sering sangat bising karena upaya otentikasi berulang. Kedua, serangan ini sering dapat mengakibatkan situasi penguncian akun setelah terlalu banyak upaya tidak valid dilakukan terhadap satu akun. Terakhir, kinerja serangan ini seringkali cukup lambat, yang mengakibatkan kesulitan saat mencoba menggunakan daftar kata yang lengkap.