Potresti se la verifica della password è stata eseguita molto male. Vale a dire se il verificatore di password fa quanto segue:
- Il verificatore di password memorizza le password in chiaro (e non
hash come dovrebbero essere)
- Il verificatore della password confronta direttamente l'ipotesi e la password
(e non un hash dell'ipotesi e la password)
- Il verificatore di password si comporta diversamente a seconda di quale
carattere il controllo della password non riesce su
- Il verificatore della password non limita il numero di tentativi falliti
La prima condizione è la più importante. Se l'implementatore di un verificatore di password memorizza le password, è improbabile che si siano presi la briga di implementare un algoritmo di confronto delle password sicure.
È triste a dirsi, ma esiste un numero sorprendentemente elevato di siti Internet che memorizzano le password in chiaro. PlainTextOffenders.com è un blog (Tumblr) dedicato a "visitare" tali siti e contiene molte centinaia di tali siti.
Se un servizio memorizza le password in chiaro, è probabile che sia suscettibile a una forma di attacco di canale laterale definito un tempismo attacco ". Se il verificatore della password controlla un carattere alla volta e restituisce un messaggio di errore della password quando incontra il primo carattere non corrispondente, è possibile indovinare un carattere alla volta (partendo dal primo) e in base alla tempistica del messaggio di errore identificativo ogni personaggio A causa della rumorosità intrinseca dei tempi di comunicazione su Internet, dovresti provare ogni possibilità più di una volta, ma sarebbe comunque sostanzialmente più veloce di un semplice attacco di forza bruta.