Technical password vulnerabilities

You    can    often    find    these    serious    technical    vulnerabilities    after    exploiting    organizational password    vulnerabilities:

  • Weak    password    encryption    schemes.    Hackers    can    break    weak    password    storage mechanisms    by    using    cracking    methods    that    I    outline    in    this    chapter.    Many    vendors and    developers    believe    that    passwords    are    safe    as    long    as    they    don’t    publish    the source    code    for    their    encryption    algorithms.    Wrong!    A    persistent,    patient    attacker can    usually    crack    this    security    by    obscurity    (a    security    measure    that’s    hidden    from plain    view    but    can    be    easily    overcome)    fairly    quickly.    After    the    code    is    cracked,    it is    distributed    across    the    Internet    and    becomes    public    knowledge.

Password    cracking    utilities    take    advantage    of    weak    password    encryption.    These utilities    do    the    grunt    work    and    can    crack    any    password,    given    enough    time    and computing    power.

  • Programs    that    store    their    passwords    in    memory,    unsecured    files,    and    easily accessed    databases.
  • Unencrypted    databases    that    provide    direct    access    to    sensitive    information    to anyone    with    database    access,    regardless    of    whether    they    have    a    business    need to    know.
  • User    applications    that    display    passwords    on    the    screen    while    the    user    is    typing.

The    National    Vulnerability    Database    (an    index    of    computer    vulnerabilities    managed    by the    National    Institute    of    Standards    and    Technology)    currently    identifies    over    2,300 password-related    vulnerabilities!    You    can    search    for    these    issues    at http://nvd.nist.gov     to    find    out    how    vulnerable    some    of    your    systems    are    from    a technical    perspective.


For any query or issue, feel free to discuss on http://discuss.eduguru.in