Описание угрозы |
Угроза заключается в возможности доступа к данным пользователя в результате подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе, а также путём перехвата и повторного использования хэша пароля, для восстановления сеанса.
Данная угроза обусловлена следующими недостатками:
значительно меньшим объёмом данных хеш-кода аутентификационной информации по сравнению с ней самой (время подбора хеш-кодов меньше времени полного перебора аутентификационной информации);
слабостями алгоритма расчёта хеш-кода, допускающими его повторное использование для выполнения успешной аутентификации.
Реализация данной угрозы возможна с помощью специальных программных средств, а также в некоторых случаях – «вручную» |
Источники угрозы
|
-
Внешний нарушитель с низким потенциалом
-
Внутренний нарушитель с низким потенциалом
|
Объект воздействия |
Системное программное обеспечение, микропрограммное обеспечение, учётные данные пользователя |
Последствия реализации угрозы |
-
Нарушение конфиденциальности
|