 描述
攻击者尝试每个单词在字典的密码进入系统通过一些用户的帐户。如果密码由用户选择一个词在字典,这种攻击会成功(没有其他措施之一)。这是一个密码蛮干攻击模式的特定实例。
字典攻击不同于类似的攻击,如密码喷涂(capec - 565)和凭据填料(capec - 600),因为他们利用未知的用户名/密码组合和不关心诱导帐户锁定。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
49 |
密码蛮干 |
| CanPrecede |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
151年 |
身份欺骗 |
| CanPrecede |
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
560年 |
使用已知的域凭据 |
| CanPrecede |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
561年 |
Windows管理员和偷来的凭证 |
| CanPrecede |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
600年 |
凭据填料 |
| CanPrecede |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
653年 |
使用已知的操作系统凭证 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
确定应用程序/系统的密码策略:确定目标应用程序/系统的密码策略。
| 技术 |
| 确定最小和最大允许密码长度。 |
| 确定的格式允许密码(是否需要或允许包含数字,特殊字符,等等,或者他们是否允许包含单词从字典)。 |
| 确定帐户锁定策略(严格的帐户锁定策略将防止暴力破解攻击)。 |
选择字典:选择要使用的字典攻击(比如不同的语言、特定的术语,等等)。
| 技术 |
| 基于特定选择词典用户的首选语言。 |
| 选择字典的基础上,应用程序/系统支持的语言。 |
确定用户名(s)目标:确定用户名密码破解的(s)。
| 技术 |
| 获取用户名(s)通过嗅探网络数据包。 |
| 获取用户名(s)通过查询应用程序/系统(例如,如果在一个失败的登录尝试,系统显示输入的用户名是否有效) |
| 从文件系统获取用户名(如C:\Documents and Settings\在Windows的目录列表,列表在类unix系统的/ etc / passwd) |
利用
使用字典来破解密码。使用密码破解工具,可以利用字典提供密码系统,看看他们的工作。
| 技术 |
| 尝试所有单词在字典里,以及常见的拼写错误的单词作为选择用户名密码(年代)。 |
| 尝试共同组合的单词在字典里,以及常见的拼写错误的组合作为选择用户名密码(年代)。 |
先决条件
| 基于密码的身份验证的系统使用一个因素。 |
| 系统没有一个良好的密码策略正在执行。 |
| 系统没有实现一个有效的密码节流机制。 |
技能要求
|
(等级:低) 各种密码破解工具和字典推出这种类型的攻击。 |
所需资源
| 机器工作的足够的资源(如CPU、RAM、高清)。适用的字典是必需的。也是一个密码破解工具或一个自定义脚本,利用字典数据库启动攻击。 |
指标
| 许多无效的登录尝试来自同一台机器(同一个IP地址)或相同的登录名。登录尝试使用密码字典单词。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
访问控制
身份验证 |
获得特权 |
|
|
保密 |
读取数据 |
|
|
完整性 |
修改数据 |
|
缓解措施
| 创建强密码策略,并确保您的系统实施这一政策。 |
| 实现一个智能密码节流机制。必须注意确保这些机制不过分使帐户锁定攻击等CAPEC-2。 |
| 利用多因素身份验证所有身份验证服务。 |
例子,实例
| 一个系统用户选择“危险”这个词作为他们的密码,相信它会很难猜。使用密码的字典攻击破解这个密码和访问帐户。 |
思科跳跃挑战/响应身份验证机制使用密码的方式容易受到字典攻击,这使得它更容易为远程攻击者获得特权通过暴力破解密码猜测攻击。 思科的飞跃是一个相互的身份验证算法,支持动态推导会话密钥。与思科飞跃,相互验证依赖于一个共享密钥,用户的登录密码(这是被客户端和网络),并用于应对挑战和用户之间的远程认证拨号用户服务(半径)服务器。 方法存在的人写一个工具推出离线字典攻击利用微软MS-CHAP基于密码的认证,比如思科的飞跃。该工具利用大密码列表有效启动离线字典攻击飞跃用户帐户,通过被动嗅探或主动收集技术。 参见:cve - 2003 - 1096 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新结果,描述、移植Related_Attack_Patterns Related_Weaknesses |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
