I. Một số phƣơng thức tấn công chủ yếu
5. Tấn công password
Kiểu tấn công password rất phổ biến hiện nay. Đây cũng là kiểu tấn công rất dễ thực hiện và cho kết quả tƣơng đối cao.Nó có thể là một chƣơng trình có khả năng giải mã một mật khẩu đã đƣợc mã hố hoặc có thể vơ hiệu hố chức năng bảo vệ mật khẩu của một hệ thống.Một số chƣơng trình phá khố có ngun tắc hoạt động khác nhau. Một số chƣơng trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kết quả so sánh với Password đã mã hoá cần bẻ khoá để tạo ra một danh sách khác theo một logic của chƣơng trình.
Khi thấy phù hợp với mật khẩu đã mã hố, kẻ phá hoại đã có đƣợc mật khẩu dƣới dạng text . Mật khẩu text thông thƣờng sẽ đƣợc ghi vào một file. Biện pháp
36
khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật khẩu đúng đắn.
Có hai dạng tấn cơng phổ biến là brute force và dictionary-based attack.
5.1. Brute force attacks
Đây đƣợc hiểu một cách đơn giản là sự kết hợp của rất nhiều kiểu phá password. Thông thƣờng chiều dài của password là từ 4 đến 16 kí tự, đồng thời cũng có khoảng 100 kí tự đƣợc dùng để đặt password, nhƣ vậy sẽ có khoảng 1004
đến 10016 tổ hợp password đƣợc tạo ra. Đây cũng là một nguyên nhân có thể dẫn tới việc password có thể bị tấn cơng bằng Brute force Aattacks. Đặc điểm tấn công của phƣơng pháp này làm cho ngƣời ta quan tâm đến việc tăng tổ hợp mã hoá password.
5.2. Dictionary-based attacks
Đây là phƣơng pháp tấn cơng password đơn giản nhất. Nó dựa vào một danh sách tập hợp đầy đủ những khả năng thông thƣờng ngƣời tạo ra password hay sử dụng nhƣ những câu nói, những địa danh, những từ ngữ mang tính riêng tƣ hay những biểu tƣợng đặc biệt. Bằng cách cho chạy list này để tìm kiếm sự trùng lặp, kẻ tấn cơng đơi khi cũng tìm đƣợc password để phục vụ cho mục đích của mình.