<ก่อนหน้านี้ | เนื้อหา | ถัดไป>
11.4.4. การโจมตีด้วยรหัสผ่าน
การโจมตีด้วยรหัสผ่านคือการโจมตีระบบการตรวจสอบความถูกต้องของบริการ การโจมตีเหล่านี้มักจะแบ่งออกเป็นการโจมตีด้วยรหัสผ่านออนไลน์และการโจมตีด้วยรหัสผ่านออฟไลน์ ซึ่งคุณจะพบได้สะท้อนกลับใน การโจมตีรหัสผ่าน หมวดหมู่เมนู ในการโจมตีรหัสผ่านออนไลน์ จะมีการพยายามใช้รหัสผ่านหลายรหัสผ่านกับระบบที่ทำงานอยู่ ในการโจมตีด้วยรหัสผ่านออฟไลน์ ค่าที่เข้ารหัสหรือแฮชของรหัสผ่านจะได้รับมา และผู้โจมตีจะพยายามรับค่าข้อความที่ชัดเจน การป้องกันการโจมตีประเภทนี้คือการทำงานผ่านกระบวนการนี้มีค่าใช้จ่ายในการประมวลผลสูง ซึ่งจำกัดจำนวนครั้งต่อวินาทีที่คุณสามารถสร้างได้ อย่างไรก็ตาม,
31https://www.owasp.org/index.php/Top_10_2013-Top_10
วิธีแก้ปัญหาสำหรับสิ่งนี้มีอยู่จริง เช่น การใช้หน่วยประมวลผลกราฟิก (GPU) เพื่อเร่งจำนวนครั้งที่สามารถทำได้ NS คาลี-ลินุกซ์-gpu metapackage มีเครื่องมือจำนวนหนึ่งที่ใช้พลังนี้
โดยทั่วไป การโจมตีด้วยรหัสผ่านจะกำหนดเป้าหมายรหัสผ่านเริ่มต้นที่ผู้ขายให้มา เนื่องจากเป็นค่าที่รู้จักกันดี ผู้โจมตีจะสแกนหาบัญชีเริ่มต้นเหล่านี้โดยหวังว่าจะได้รับโชคดี การโจมตีทั่วไปอื่นๆ รวมถึงการโจมตีด้วยพจนานุกรมแบบกำหนดเองซึ่งมีการสร้างรายการคำซึ่งได้รับการปรับแต่งให้เข้ากับสภาพแวดล้อมเป้าหมาย จากนั้นจึงทำการโจมตีด้วยรหัสผ่านออนไลน์กับบัญชีทั่วไป ค่าเริ่มต้น หรือบัญชีที่รู้จัก โดยพยายามแต่ละคำตามลำดับ
ในการประเมิน สิ่งสำคัญคือต้องเข้าใจผลที่ตามมาของการโจมตีประเภทนี้ ประการแรก พวกเขามักจะส่งเสียงดังมากเนื่องจากการพยายามรับรองความถูกต้องซ้ำแล้วซ้ำเล่า ประการที่สอง การโจมตีเหล่านี้มักจะส่งผลให้เกิดสถานการณ์ล็อคบัญชีหลังจากพยายามทำผิดพลาดหลายครั้งเกินไปกับบัญชีเดียว ในที่สุด ประสิทธิภาพของการโจมตีเหล่านี้มักจะค่อนข้างช้า ส่งผลให้เกิดปัญหาเมื่อพยายามใช้รายการคำศัพท์ที่ครอบคลุม