Bewertung der Kennwortbedrohung
Vor der Implementierung von Code, der Kennwörter schützt, empfiehlt es sich, Ihre bestimmte Umgebung auf Möglichkeiten zu analysieren, wie ein Angreifer versuchen könnte, die Softwareabwehr zu durchdringen.
Beginnen Sie mit der Analyse Ihrer Netzwerk- oder Systemarchitektur. Hier einige Beispiele:
- Die Anzahl der Kennwörter, die geschützt werden müssen. Ist für die Anmeldung am lokalen Computer ein Kennwort erforderlich? Wird dasselbe Kennwort für die Anmeldung beim Netzwerk verwendet? Werden Kennwörter an mehrere Server im Netzwerk weitergegeben? Wie viele Kennwörter müssen berücksichtigt werden?
- Die Art des Netzwerks (falls vorhanden), das verwendet wird. Wird das Netzwerk mit einem Unternehmensverzeichnissystem (z. B. LDAP) implementiert, und wird seine Kennwortarchitektur verwendet? Speichern Objekte unverschlüsselte Kennwörter?
- Offenes oder geschlossenes Netzwerk. Ist das Netzwerk eigenständig oder nach außen offen? Wenn ja, ist es durch eine Firewall geschützt?
- Ras. Müssen Benutzer von einem Remotestandort aus auf das Netzwerk zugreifen?
Nachdem Sie Ihre System- oder Netzwerkarchitektur analysiert haben, können Sie mit der Analyse beginnen, wie ein Angreifer versuchen könnte, ihn anzugreifen. Einige mögliche Ursachen:
- Liest ein unverschlüsseltes Kennwort aus der Registrierung eines Computers.
- Lesen Sie ein unverschlüsseltes Kennwort, das in der Software hartcodiert ist.
- Liest ein unverschlüsseltes Kennwort von der getauschten Codepage eines Computers.
- Liest ein Kennwort aus dem Ereignisprotokoll eines Programms.
- Liest ein Kennwort aus einem erweiterten Microsoft Active Directory-Verzeichnisdienstschema, das Objekte enthält, die ein Klartextkennwort enthalten.
- Führen Sie einen Debugger für ein Programm aus, das ein Kennwort erfordert.
- Erraten Sie ein Kennwort. Es kann eine von mehreren Techniken verwendet werden. Beispielsweise kann der Angreifer einige persönliche Informationen über einen Benutzer kennen und versuchen, ein Kennwort aus diesen Informationen zu erraten (z. B. den Namen eines Ehepartners/Partners oder Kindes). Oder es kann eine Brute-Force-Methode ausprobiert werden, bei der alle Kombinationen von Buchstaben, Zahlen und Interpunktionszeichen ausprobiert werden (nur möglich, wenn kurze Kennwörter verwendet werden).
Der Vergleich der möglichen Angriffsmethoden mit der System- oder Netzwerkarchitektur wird wahrscheinlich Sicherheitsrisiken aufdecken. An diesem Punkt kann für jedes Risiko ein Risikofaktor festgelegt werden, und die Risikofaktoren können verwendet werden, um Korrekturen zu selektieren.