|
Útoky, počas ktorých sa hádajú heslá, patria medzi najobľúbenejšie aspekty penetračného testovania. Heslá sa dajú získať rôznymi spôsobmi. Dajú sa uhádnuť, dajú sa nájsť napísané alebo sa dajú získať z operačného systému. Heslá získané od operačného systému sú buď uložené v plain text formáte, alebo sú zakódované dekódovateľnou šifrou. Operačné systémy väčšinou využívajú hash funkcie, ktoré zoberú heslo a zakódujú ho nedekódovaleľným spôsobom. Pri verifikácii sa porovnáva hash zadaného hesla a uložený hash .
Útoky na hashované heslá sa väčšinou vykonávajú kombináciou dictionary útokov a brute-force metód. Pri dictionary útokoch si útočník pripraví zoznam často používaných hesiel a pomocou nich sa snaží preniknúť do systému. Pri brute-force metóde sa postupne skúšajú všetky možné kombinácie znakov ako heslo. Napríklad aaa , aab , aac a tak ďalej. Medzi miesta, na ktorých sa dajú získať heslá patria aj tieto: • bat súbory a skripty • web stránky • aplikácie a časti operačných systémov, ktoré si pamätajú heslá • pod klávesnicou a na papierikoch prilepených o monitor • v excelovskom dokumente “schovanom” na zdieľanom adresári • v súboroch zabudnutých po inštalácii • na sieti, hlavne ak systém akceptuje plain text heslá
|
|
 |
 |