Περίληψη: | Η επίθεση παραβίασης ενός κωδικού πρόσβασης είναι απλώς μια επίθεση επαναλαμβανόμενων προσπαθειών. Ο επιτιθέμενος κάνει εικασίες σχετικά με τον κωδικό πρόσβασης ενός χρήστη μέχρι να μαντέψει σωστά ή να παραιτηθεί. Η ισχύς ενός κωδικού πρόσβασης εξαρτάται συχνά από το πόσο δύσκολο είναι για τον επιτιθέμενο να μοντελοποιήσει και να αναπαράγει τον τρόπο με τον οποίο ο χρήστης δημιούργησε τον κωδικό πρόσβασής του.
Εάν οι άνθρωποι μπορούσαν να δημιουργούν και να απομνημονεύουν τυχαίες τιμές, η παραβίαση κωδικών πρόσβασης θα ήταν σχεδόν αδύνατη υπόθεση. Η συντριπτική πλειοψηφία των ανθρώπων εξακολουθεί να ακολουθεί κοινά μοτίβα, από την κεφαλαιοποίηση του πρώτου γράμματος του κωδικού πρόσβασής τους μέχρι την τοποθέτηση αριθμών στο τέλος. Αυτό που αλλάζει όμως είναι οι τεχνικές προστασίας που χρησιμοποιούνται οι οποίες είναι ανεξάρτητες από τη συμπεριφορά του χρήστη. Πρακτικές όπως το salting των κωδικών πρόσβασης αναιρούν τη δυνατότητα προ-υπολογισμού των επιθέσεων. Ομοίως, οι αλγόριθμοι κατακερματισμού (hash) γίνονται όλο και πιο πολύπλοκοι υπολογιστικά, αυξάνοντας το κόστος για κάθε εικασία που κάνει ένας επιτιθέμενος. Ενώ πριν ένας επιτιθέμενος μπορούσε να βασιστεί σε απλές μεθόδους εξαντλητικών αναζητήσεων, υπάρχει αυξανόμενη ζήτηση για πιο αποτελεσματικούς τρόπους πρόβλεψης του κωδικού πρόσβασης ενός χρήστη.
Το παρόν έγγραφο περιγράφει διάφορους τρόπους με τους οποίους μεγιστοποιείται η επιτυχία των επιθέσεων παραβίασης κωδικών πρόσβασης. Ξεκινώντας από απλές επιθέσεις μέχρι και την εφαρμογή πιθανολογικών τεχνικών, όπως τα μοντέλα Markov, υπάρχουν πολλοί διαφορετικοί τρόποι με τους οποίους οι πληροφορίες μπορούν να ενσωματωθούν στη μοντελοποίηση της συμπεριφοράς των χρηστών. Επιπλέον, οι τεχνικές που περιγράφονται στην παρούσα εργασία έχουν αναπτυχθεί με τη χρήση πραγματικών κωδικών πρόσβασης και έχουν δοκιμαστεί σε πραγματικές ελεγχόμενες επιθέσεις παραβίασης κωδικών πρόσβασης. Η γνώση του τρόπου με τον οποίο οι άνθρωποι επιλέγουν κωδικούς πρόσβασης μπορεί να εφαρμοστεί στην αξιολόγηση της αποτελεσματικότητας των πολιτικών δημιουργίας κωδικών πρόσβασης.
|