使用替代身份验证材料
对手可能会使用替代身份验证材料,例如密码哈希、Kerberos 票证和应用程序访问令牌,以在环境中横向移动并绕过正常的系统访问控制。 身份验证过程通常需要有效的身份(例如,用户名)以及一个或多个身份验证因素(例如,密码、PIN、物理智能卡、令牌生成器等)。替代身份验证材料是系统在用户或应用程序通过提供有效身份和所需的身份验证因素成功进行身份验证后合法生成的。替代身份验证材料也可能在身份创建过程中生成。(引用: NIST Authentication)(引用: NIST MFA) 缓存替代身份验证材料允许系统验证身份已成功进行身份验证,而无需用户重新输入身份验证因素。由于系统必须维护替代身份验证材料——无论是在内存中还是在磁盘上——它可能面临通过凭据访问技术被盗的风险。通过窃取替代身份验证材料,对手能够绕过系统访问控制并在不知道明文密码或任何其他身份验证因素的情况下对系统进行身份验证。