Sdílet prostřednictvím


Posouzení hrozeb hesel

Před implementací kódu, který chrání hesla, je nejlepší analyzovat konkrétní prostředí způsoby, kterými by se útočník mohl pokusit proniknout do ochrany softwaru.

Začněte analýzou architektury sítě nebo systému. Tady je několik příkladů:

  • Počet hesel, která musí být chráněná. Vyžaduje se pro přihlášení k místnímu počítači heslo? Používá se k přihlášení k síti stejné heslo? Šíří se hesla na více než jeden server v síti? Kolikheselch
  • Druh sítě (pokud existuje), který se použije. Implementuje se síť pomocí podnikového adresářového systému (například LDAP) a používá se jeho architektura hesel? Ukládají nějaké objekty nešifrovaná hesla?
  • Otevřená versus uzavřená síť Je síť samostatná nebo je otevřená pro vnější? Pokud ano, je chráněn bránou firewall?
  • Vzdálený přístup. Budou uživatelé potřebovat přístup k síti ze vzdáleného umístění?

Po analýze architektury systému nebo sítě můžete začít analyzovat, jak se útočník může pokusit na něj napadnout. Tady je několik možností:

  • Přečtěte si nešifrované heslo z registru počítače.
  • Přečtěte si nešifrované heslo, které je pevně zakódované v softwaru.
  • Čtení nezašifrovaného hesla z prohozené znakové stránky počítače
  • Přečtěte si heslo z protokolu událostí programu.
  • Přečtěte si heslo z rozšířeného schématu adresářové služby Microsoft Active Directory, které obsahuje objekty, které obsahují heslo ve formátu prostého textu.
  • Spusťte ladicí program v programu, který vyžaduje heslo.
  • Uhodnout heslo. Je možné použít některou z několika technik. Útočník může například znát některé osobní údaje o uživateli a pokusit se uhodnout heslo z těchto informací (například jméno manžela/partnera nebo dítěte). Nebo může být vyzkoušena metoda hrubou silou, kde se zkouší všechny kombinace písmen, číslic a interpunkce (je možné použít pouze tam, kde se používají krátká hesla).

Porovnání možných metodologií útoku se systémovou nebo síťovou architekturou pravděpodobně odhalí rizika zabezpečení. V tomto okamžiku lze pro každé riziko stanovit rizikový faktor a rizikové faktory je možné použít k určení priorit třídění.