Куда я попал?
УБИ.008 Угроза восстановления и/или повторного использования аутентификационной информации
Угроза заключается в возможности доступа к данным пользователя в результате подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе, а также путём перехвата и повторного использования хэша пароля, для восстановления сеанса.
Данная угроза обусловлена следующими недостатками:
значительно меньшим объёмом данных хеш-кода аутентификационной информации по сравнению с ней самой (время подбора хеш-кодов меньше времени полного перебора аутентификационной информации);
слабостями алгоритма расчёта хеш-кода, допускающими его повторное использование для выполнения успешной аутентификации.
Реализация данной угрозы возможна с помощью специальных программных средств, а также в некоторых случаях - "вручную"
Данная угроза обусловлена следующими недостатками:
значительно меньшим объёмом данных хеш-кода аутентификационной информации по сравнению с ней самой (время подбора хеш-кодов меньше времени полного перебора аутентификационной информации);
слабостями алгоритма расчёта хеш-кода, допускающими его повторное использование для выполнения успешной аутентификации.
Реализация данной угрозы возможна с помощью специальных программных средств, а также в некоторых случаях - "вручную"
Типы активов
Системное программное обеспечение
Микропрограммное обеспечение
Учетные данные пользователя
Микропрограммное обеспечение
Учетные данные пользователя
Классификация
Конфиденциальность
Источники угрозы
Внешний нарушитель - Низкий потенциал
Внутренний нарушитель - Низкий потенциал
Внутренний нарушитель - Низкий потенциал
Связанные риски
Риск | Связи | |
---|---|---|
Раскрытие ключей (паролей) доступа
из-за
возможности подбора пароля путем перебора (bruteforce)
в доменных службах Active Directory
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
|
|
Раскрытие ключей (паролей) доступа
из-за
возможности подбора пароля путем перебора (bruteforce)
в сетевом оборудовании
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
|
|
Раскрытие ключей (паролей) доступа
из-за
возможности подбора пароля путем перебора (bruteforce)
в ОС Linux
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
1
|
Каталоги
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.