Model hrozeb pro hesla u webové aplikace

Při přihlašování do běžné webové aplikace si uživatel na své stanici spustí webový prohlížeč a otevře stránku webové aplikace. Poté do prohlížeče zadá uživatelské jméno a heslo. Toto heslo se otevřené přenese skrz zašifrovaný TLS kanál na aplikační server. Zde se heslo zahašuje a porovná s hašem uloženým v autentizační databázi. John Steven z organizace OWASP vytvořil model útoků na hesla4 pro jednoduché webové aplikace. V modelu se rozlišují dvě základní etapy útoku. V první útočník získá databázi haší hesel. V druhé se na základě toho snaží odvodit původní hesla. Model dále rozlišuje šest základních kategorií hrozeb (H1 až H6), v každé kategorii jsou pak uvedeny konkrétní metody, které útočníci využívají (tzv. vektory hrozeb)