Использование альтернативного материала аутентификации

Злоумышленники могут использовать альтернативный материал аутентификации, такой как хеши паролей, билеты Kerberos и токены доступа к приложениям, для горизонтального перемещения внутри среды и обхода обычных средств контроля доступа к системе. Процессы аутентификации обычно требуют действительную идентификацию (например, имя пользователя) вместе с одним или несколькими факторами аутентификации (например, пароль, PIN-код, физическая смарт-карта, генератор токенов и т.д.). Альтернативный материал аутентификации законно генерируется системами после того, как пользователь или приложение успешно проходит аутентификацию, предоставляя действительную идентификацию и требуемые факторы аутентификации. Альтернативный материал аутентификации также может генерироваться во время процесса создания идентификации. Кэширование альтернативного материала аутентификации позволяет системе проверять, что идентификация успешно прошла аутентификацию, без необходимости повторного ввода факторов аутентификации пользователем. Поскольку альтернативная аутентификация должна поддерживаться системой — либо в памяти, либо на диске — она может подвергаться риску кражи с помощью техник получения учетных данных. Похищая альтернативный материал аутентификации, злоумышленники могут обходить средства контроля доступа к системе и проходить аутентификацию в системах без знания открытого текста пароля или каких-либо дополнительных факторов аутентификации.