| Угроза восстановления и/или повторного использования аутентификационной информации |
Угроза заключается в возможности доступа к данным пользователя в результате подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе, а также путём перехвата и повторного использования хэша пароля, для восстановления сеанса.
Данная угроза обусловлена следующими недостатками:
значительно меньшим объёмом данных хеш-кода аутентификационной информации по сравнению с ней самой (время подбора хеш-кодов меньше времени полного перебора аутентификационной информации);
слабостями алгоритма расчёта хеш-кода, допускающими его повторное использование для выполнения успешной аутентификации.
Реализация данной угрозы возможна с помощью специальных программных средств, а также в некоторых случаях – «вручную» |
8 |
Внешний нарушитель с низким потенциалом
Внутренний нарушитель с низким потенциалом
|
Учётные данные пользователя
Системное программное обеспечение
Микропрограммное обеспечение
|
✔
|
✘
|
✘
|
ИАФ.1
ИАФ.2
ИАФ.3
ИАФ.4
УПД.1
УПД.2
УПД.3
УПД.4
УПД.5
УПД.6
УПД.13
ОПС.2
ОПС.3
АНЗ.1
АНЗ.3
ЗИС.3
ЗИС.23
|