 描述
敌人密码尝试所有可能的值,直到他们成功。蛮力攻击,如果可行的计算上,总是会成功的,因为它会通过所有可能的密码使用的字母(小写字母,大写字母,数字,符号,等等)和密码的最大长度。
扩展描述
系统将特别容易受到这种类型的攻击,如果没有一个适当的执行机制以保证密码由用户选定的强密码,遵守适当的密码策略。在实践中纯粹的蛮力攻击密码很少使用,除非怀疑是弱密码。其他密码破解方法存在更有效(如字典攻击,彩虹表等)。了解系统上的密码策略可以使蛮力攻击更有效。例如,如果政策指出,所有的密码都必须一定水平,没有需要检查较小的候选人。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
112年 |
蛮力 |
| ParentOf |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
16 |
基于字典的密码攻击 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
55 |
彩虹表密码破解 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
70年 |
常见的或默认的用户名和密码 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
565年 |
密码喷涂 |
| CanPrecede |
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
151年 |
身份欺骗 |
| CanPrecede |
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
560年 |
使用已知的域凭据 |
| CanPrecede |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
561年 |
Windows管理员和偷来的凭证 |
| CanPrecede |
 标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
600年 |
凭据填料 |
| CanPrecede |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
653年 |
使用已知的操作系统凭证 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
确定应用程序/系统的密码策略:确定目标应用程序/系统的密码策略。
| 技术 |
| 确定最小和最大允许密码长度。 |
| 确定的格式允许密码(是否需要或允许包含数字,特殊字符,等等)。 |
| 确定帐户锁定策略(严格的帐户锁定策略将防止暴力破解攻击)。 |
利用
暴力破解密码:考虑到有限的空间可能的密码由密码策略决定在前面的步骤中,尝试所有可能的密码一个已知的用户ID,直到应用程序/系统授予访问权限。
| 技术 |
| 手动或自动输入所有可能的密码通过应用程序/系统的接口。在大多数系统中,从最短和最简单的密码,因为大多数用户倾向于选择这样的密码如果允许这样做。 |
| 彩虹表执行离线字典攻击或攻击一个已知的密码散列。 |
先决条件
| 目标敌人需要知道用户名。 |
| 系统使用基于密码的身份验证身份验证机制的因素。 |
| 应用程序没有密码节流机制。一个好的密码节流机制将使它几乎不可能计算暴力破解密码,因为它可以锁定用户经过一定数量的错误尝试或介绍超时时间。这两个会使蛮力攻击不切实际。 |
技能要求
|
(等级:低) 蛮力攻击是非常简单的。各种密码破解工具随处可见。 |
所需资源
| 一个足够强大的计算机的工作有足够的CPU、RAM和高清。具体要求将取决于蛮力的大小和时间要求完成工作。一些蛮干的工作可能需要网格或分布式计算(例如挑战)。 |
指标
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
访问控制
授权 |
获得特权 |
|
|
保密 |
读取数据 |
|
|
完整性 |
修改数据 |
|
缓解措施
| 实现一个密码节流机制。这种机制应该考虑IP地址和登录用户的名称。 |
| 建立一个强大的密码政策,确保所有用户创建密码遵守它。或者为用户自动生成强密码。 |
| 密码需要回收,防止衰老,这是每隔一段时间必须选择一个新的密码。 |
例子,实例
一个系统不执行一个强大的密码策略和用户选择五个字母小写英文字母组成的密码。系统没有实现任何密码节流机制。假设对手的长度不知道用户的密码,敌人可以暴力破解这个密码最大1 + 26 + 26 ^ 2 + 26 26 ^ ^ 3 + 4 + 26 ^ 5 = 1 + 2 + 676 + 17576 + 456976 + 11881376 = 12356631的尝试,这些尝试半平均(6178316)。使用现代硬件这攻击是微不足道的。如果对手假定用户密码也可以包含大写字母(区分大小写)或数字,比试验的数量会更大。 敌人的工作最有可能会更容易,因为许多用户选择这样的容易被暴力破解密码也可能使用一个单词,可以在字典里找到。因为有更少的有效英语单词包含五个字母超过12356631,攻击,英语词典中的每个条目会更快。 |
| 弱点存在于自动生成密码之前常规的邮差2.1.5导致生成只有大约五百万个不同的密码。这使它容易被暴力破解密码为所有用户决定让邮差自动生成密码。用户在注册过程中选择自己的密码不会受到影响(假设他们选择强密码)。参见:cve - 2004 - 1143 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Attack_Phases Attack_Prerequisites,描述总结,Examples-Instances |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的引用 |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Taxonomy_Mappings |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新后的后果,Related_Attack_Patterns、Related_Weaknesses Taxonomy_Mappings |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
