Hvad er spray-sprøjtning, og hvordan kan du beskytte dine adgangskoder mod det?

Password Spraying

Når vi taler om sikkerheden i vores konti, taler vi normalt om adgangskoder, fordi folk ofte antager, at hvis din adgangskode er kompromitteret, er din konto kompromitteret. Det er dog ikke helt sandt. Selvom de har adgangskoden, kan hackerne ikke bryde ind uden det andet stykke information, du indtaster på de fleste loginformularer - brugernavnet. Folk er simpelthen ikke klar over, hvor vigtigt brugernavnet er. Hackere gør det dog. Sådan kom de op med et angreb kaldet password-spraying.

Adgangskode hvad ?!

Normalt når skurke vil kompromittere en konto, tager de brugernavnet (som ofte er vores e-mail-adresse) og prøver det i kombination med mange forskellige adgangskoder. De bruger automatiserede værktøjer, der enten er afhængige af lange lister med almindelige adgangskoder eller på en algoritme, der blander tegn tilfældigt. Dette er det typiske angreb fra brute-force, hvor de kriminelle allerede har identificeret brugeren, og de er bare nødt til at finde adgangskoden.

I et password-sprøjteangreb er det omvendt. De ved (eller rettere sagt, antager), at mindst en bruger har brugt en given adgangskode. De har bare brug for at finde ud af, hvem den person er. For at gøre det har de brug for to lister - en med adgangskoder og en med brugernavne. Listen over adgangskoder er meget kortere, end det ville være i en traditionel brute-force-indsats, og posterne i det skal være relevant (hvis de f.eks. Udfører et angreb på Amazon-brugere, ville hackerne sørge for, at "amazon "er et sted nær toppen af adgangskodelisten). Hvad angår brugernavne, afhænger måden af, hvordan de er samlet.

Skurkerne tager det første kodeord på listen (f.eks. "Amazon") og prøv det i kombination med alle de forskellige brugernavne. Derefter tager de den anden adgangskode og gør det samme, og så videre. Afhængigt af målet er målet enten at kompromittere så mange brugere som muligt eller at bryde ind på en konto, som ville give skurke muligheden for yderligere at infiltrere systemet.

Hvornår bruger hackere sprøjtning med kodeord?

Selvom du bestemt ikke må bruge "amazon" som adgangskoden til din Amazon-konto, skal vi sandsynligvis bemærke, at et angreb på en stor adgangskode til en stor online-platform ikke er meget sandsynligt. Det er sandt, at mange mennesker bruger forfærdeligt enkle adgangskoder, men der er ikke meget mening i at tage et af disse adgangskoder og derefter prøve det ud med millioner på millioner af e-mail-adresser.

Det er meget nemmere at tage en database, der er lækket under en dataovertrædelseshændelse og for eksempel prøve et legitimationsudstoppningsangreb. Selvom du ikke har en lækket datadump, gør det næsten ubegrænsede antal mulige brugernavne at gætte adgangskoden til en langt mere praktisk tilgang.

I et virksomhedsmiljø er tingene imidlertid meget forskellige. I en organisation er der normalt et begrænset antal mislykkede loginforsøg for hver konto, hvilket betyder, at hackere ikke kan prøve en e-mail-adresse med titusinder af forskellige adgangskoder i håb om at gætte den rigtige kombination. Låsemekanismen vil sandsynligvis sparke ind længe før de formår at finde en kamp.

Samtidig er der i en virksomhed et vist (ikke særlig stort) antal ansatte, og derfor ikke så mange mulige brugernavne. Ofte er det at få dem så simpelt som at åbne siden Om os. Og hvad angår adgangskoden, da de ved, hvem de forsøger at gå på kompromis, kan hackerne komme med et mere uddannet gæt. For eksempel, hvis de angriber Nike, er de meget mere tilbøjelige til at inkludere "bare-gør-det!" på deres adgangskodeliste i stedet for "adidas-rocks!", for eksempel.

Pludselig begynder et password-sprøjteangreb at være meget mere fornuftigt, og at beskytte dig selv og din virksomhed mod det bliver en nødvendighed.

Forhindrer et vellykket sprøjteangreb med password

I marts så Microsoft, udviklerne af Azure AD, et identitetsstyringssystem, der bruges af mange virksomheder, en uptick i antallet af angreb på password-sprøjtning, og de sammensatte en liste med tip, der formodes at hjælpe sysadmins med at styrke deres virksomheds systemer og forhindre indtrængen.

Som du måske allerede har gættet, er der mange ting, du kan gøre for at forhindre et password-sprøjteangreb - begrænse adgangen uden for kontoret, låse IP'er, der gør for mange mislykkede loginforsøg, ansætte et penetrationstestteam til at vurdere tilstanden for din virksomhedens IT-infrastruktur osv. Der er dog et par enklere trin, der kan gøre jobbet - implementering af flere-faktorgodkendelse for alle brugere og anvendelse af mere komplekse adgangskoder.

Du skal ikke glemme, at et angreb, der sprøjter med adgangskode, stadig afhænger af at gætte et kodeord, der blev oprettet af et menneske. Mennesker, som vi har etableret i mange andre artikler, er ikke meget gode til at oprette svære at gætte adgangskoder. Forbud indlysende og enkle adgangskoder, og tving ideelt set brugerne til at bruge en adgangskodemanager, der ikke kun skaber komplekse adgangskoder, men også gemmer dem.

Multifaktor-godkendelse er den anden enkle mekanisme, der kan stoppe et password-sprøjteangreb i dets spor. Selv med den korrekte kombination af brugernavn og adgangskode kan hackere ikke bryde ind, hvis der kræves et yderligere stykke information. Gode identitetsstyringssystemer har forskellige multifaktor-godkendelsesmekanismer. Alt sysadmins skal gøre er at tjekke dem ud og se, hvilken der passer bedst til deres behov.

Sprøjtning af kodeord kan virke meget arbejde, men du må ikke glemme, at vi taler om et virksomhedsmiljø, hvor kompromis med en enkelt konto nogle gange giver hackere muligheden for at bevæge sig i hele systemet. Derfor bør truslen ikke undervurderes, og de nødvendige forholdsregler bør indføres.

January 10, 2020