Documentazione<Precedenti | Contenuti | Succ.>
11.4.4. Attacchi di password
Gli attacchi alla password sono attacchi contro il sistema di autenticazione di un servizio. Questi attacchi sono spesso suddivisi in attacchi di password online e attacchi di password offline, che troverai riflessi nel Attacchi con password categoria menù. In un attacco di password online, vengono tentate più password contro un sistema in esecuzione. In un attacco di password offline, vengono ottenuti i valori hash o crittografati delle password e l'attaccante tenta di ottenere i valori di testo non crittografato. La protezione contro questo tipo di attacco è data dal fatto che è computazionalmente costoso eseguire questo processo, limitando il numero di tentativi al secondo che è possibile generare. Però,
31https://www.owasp.org/index.php/Top_10_2013-Top_10
esistono soluzioni alternative per questo, come l'utilizzo di unità di elaborazione grafica (GPU) per accelerare il numero di tentativi che possono essere effettuati. Il kali-linux-gpu il metapacchetto contiene una serie di strumenti che attingono a questo potere.
Più comunemente, gli attacchi alle password prendono di mira le password predefinite fornite dal fornitore. Poiché si tratta di valori ben noti, gli aggressori cercheranno questi account predefiniti, sperando di essere fortunati. Altri attacchi comuni includono attacchi di dizionario personalizzato in cui viene creato un elenco di parole che è stato adattato all'ambiente di destinazione e quindi viene condotto un attacco di password online contro account comuni, predefiniti o noti in cui ogni parola viene tentata in sequenza.
In una valutazione, è molto importante comprendere le potenziali conseguenze di questo tipo di attacco. Innanzitutto, sono spesso molto rumorosi a causa dei ripetuti tentativi di autenticazione. In secondo luogo, questi attacchi possono spesso portare a una situazione di blocco dell'account dopo che sono stati eseguiti troppi tentativi non validi contro un singolo account. Infine, le prestazioni di questi attacchi sono spesso piuttosto lente, risultando in difficoltà quando si tenta di utilizzare un elenco di parole completo.