文件记录11.4.4. 密码攻击
密码攻击是针对服务认证系统的攻击。 这些攻击通常分为在线密码攻击和离线密码攻击,你会发现在 密码攻击 菜单类别。 在在线密码攻击中,针对正在运行的系统尝试使用多个密码。 在离线密码攻击中,获取密码的散列值或加密值,攻击者尝试获取明文值。 防止此类攻击的事实是,完成此过程的计算成本很高,限制了每秒可以生成的尝试次数。 然而,
31 https://www.owasp.org/index.php/Top_10_2013-Top_10
确实存在解决此问题的方法,例如使用图形处理器单元 (GPU) 来加速可以进行的尝试次数。 这 kali-linux-gpu metapackage 包含许多利用这种能力的工具。
最常见的是,密码攻击的目标是供应商提供的默认密码。 由于这些是众所周知的值,攻击者将扫描这些默认帐户,希望能走运。 其他常见的攻击包括自定义字典攻击,其中创建了一个针对目标环境量身定制的词表,然后对常见、默认或已知帐户进行在线密码攻击,其中每个词都按顺序尝试。
在评估中,了解此类攻击的潜在后果非常重要。 首先,由于重复的身份验证尝试,它们通常非常嘈杂。 其次,在对单个帐户执行过多无效尝试后,这些攻击通常会导致帐户锁定情况。 最后,这些攻击的性能通常很慢,导致在尝试使用综合词表时遇到困难。