パスワードでロックされたアカウントへの攻撃はどのように機能しますか？

ブルートフォースオプション：

Credential Spraying（distributed brute force）：複数のアカウントまたは複数のシステム（またはこのテーマのバリエーション）で同じパスワードを試します。どのアカウントもフォーカスされていないため、各アカウントへの攻撃はレーダーの下に置かれます。

Offline Brute Force：システムの弱点を利用して、（うまくいけば）ハッシュされたパスワードを含むパスワードデータベースを抽出します。各ハッシュ（または必要なアカウントのハッシュ）をクラックするために、常に時間をかけます。

Online Brute Force：試行回数が多すぎる場合、公開サイトはアカウントをロックしません。障害の発生源のIPをブロックする可能性がありますが、攻撃者はIPを変更できます。自動保護メカニズムの設定の下に留まるように攻撃を遅くすることは可能です。

パスワードの再利用：違反した認証情報のデータベースを検索し、一般的なサービスでその組み合わせを試します。事実上、サービスごとに1回の試行です。複数回表示されるアカウントの場合、使用されているパスワードのコレクションを使用します。

プロセスの弱点：

認証の弱点：システムの欠陥により、攻撃者は他のアカウントや、許可されたアカウントのみがアクセスできるはずの情報の一部にアクセスできる可能性があります。これは非常にまれで、非常に具体的な問題です。

ソーシャルエンジニアリング：

フィッシング：その人に資格情報を尋ねる

ヘルプデスクハッキング：脆弱なパスワードリセットプロセスまたはオンラインサポートデスクを使用して、アカウントへの攻撃者のアクセスを許可するサービスを取得します