תיעוד11.4.4. התקפות סיסמאות
התקפות סיסמאות הן התקפות נגד מערכת האימות של שירות. התקפות אלה מחולקות לרוב להתקפות סיסמאות מקוונות והתקפות סיסמאות לא מקוונות, אותן תמצאו משתקפות ב- התקפות סיסמא קטגוריית תפריט. בהתקפת סיסמאות מקוונת, מנסים סיסמאות מרובות נגד מערכת פועלת. בהתקפת סיסמאות לא מקוונות, הערכים הגיבובים או המוצפנים של הסיסמאות מתקבלים והתוקף מנסה להשיג את ערכי הטקסט הברור. ההגנה מפני סוג זה של התקפה היא העובדה שזה יקר מבחינה חישובית לעבוד בתהליך הזה, מה שמגביל את מספר הניסיונות לשנייה שאתה יכול ליצור. למרות זאת,
31https://www.owasp.org/index.php/Top_10_2013-Top_10
קיימות דרכים לעקיפת הבעיה, כגון שימוש ביחידות מעבד גרפיות (GPU) כדי להאיץ את מספר הניסיונות שניתן לבצע. ה kali-linux-gpu metapackage מכיל מספר כלים המנצלים את הכוח הזה.
לרוב, התקפות סיסמאות מכוונות לסיסמאות ברירת מחדל שסופקו על ידי הספק. מכיוון שאלו ערכים ידועים, תוקפים יסרקו אחר חשבונות ברירת המחדל הללו, בתקווה שיתמזל מזלם. התקפות נפוצות אחרות כוללות התקפות מילון מותאם אישית שבהן נוצרת רשימת מילים שהותאמה לסביבת היעד ולאחר מכן נערכת התקפת סיסמאות מקוונת נגד חשבונות נפוצים, ברירת מחדל או ידועים כאשר כל מילה מנוסה ברצף.
בהערכה, חשוב מאוד להבין את ההשלכות האפשריות של סוג זה של התקפה. ראשית, לעתים קרובות הם רועשים מאוד עקב ניסיונות האימות החוזרים ונשנים. שנית, התקפות אלו עלולות לגרום לעיתים קרובות למצב של נעילת חשבון לאחר שבוצעו יותר מדי ניסיונות לא חוקיים נגד חשבון בודד. לבסוף, הביצועים של התקפות אלו הם לרוב איטיים למדי, וכתוצאה מכך נוצר קושי בעת ניסיון להשתמש ברשימת מילים מקיפה.