Le password per accedere ai sistemi informatici sono in genere memorizzate, in qualche forma, in un database in ordine al sistema di eseguire la verifica password. Per migliorare la privacy delle password, i dati di verifica password memorizzate sono generalmente prodotta applicando una funzione unidirezionale per la password, eventualmente in combinazione con altri dati disponibili. Per la semplicità di questa discussione, quando la funzione unidirezionale non incorpora una chiave segreta, diverso da quello della password, ci riferiamo alla funzione unidirezionale impiegata come un hash e il relativo output come un hash delle password. Anche se le funzioni che creano password hash possono essere crittograficamente sicure, possesso di una password hash fornisce un modo rapido per verificare indovina la password applicando la funzione di ogni congettura, e confrontando il risultato con i dati di verifica. Le funzioni hash più comunemente utilizzati possono essere calcolate rapidamente e l'attaccante può fare questo più volte con diversi tentativi fino a quando non viene trovata una corrispondenza valida, cioè che la password in chiaro è stata recuperata.
Il cracking di password di termine è in genere limitato al recupero di una o più password in chiaro da hash delle password. Password cracking richiede che un utente malintenzionato può accedere a un hash delle password, il database di verifica password di lettura o intercettando un hash delle password inviati tramite una rete aperta, o ha qualche altro modo rapidamente e senza limite di testare se un'indovinato password è corretta. Senza l'hash delle password, l'utente malintenzionato può tentare ancora accesso al sistema informatico in questione con le password indovinate. Tuttavia ben progettati sistemi di limitano il numero di tentativi di accesso falliti e possono avvisare gli amministratori per rintracciare l'origine dell'attacco, se tale quota è superata. Con l'hash delle password, l'utente malintenzionato può lavorare inosservato, e se l'attaccante ha ottenuto diverse password hash, le probabilità per cracking almeno uno è abbastanza alta. Ci sono anche molti altri modi di ottenere le password illecitamente, come ingegneria sociale, intercettazioni, keystroke logging, login spoofing, dumpster diving, tempi di attacco, ecc... Tuttavia, cracking solitamente indica un attacco d'ipotesi.
Cracking può essere combinato con altre tecniche. Ad esempio, utilizzo di un metodo di autenticazione basato su hash challenge-response per verifica password possa fornire un hash delle password a un intercettatore, che poi può rompere la password. Esiste un numero di protocolli di crittografia più forti che non espongono le password hash durante la verifica su una rete, proteggendoli in trasmissione utilizzando una chiave di alta qualità, oppure utilizzando una password di conoscenza zero prova.
No comments:
Post a Comment