Was ist Password Spraying und wie schützt man seine Passwörter davor?

Password Spraying

Wenn wir über die Sicherheit unserer Konten sprechen, sprechen wir normalerweise von Passwörtern, da die Leute häufig davon ausgehen, dass Ihr Konto kompromittiert ist, wenn Ihr Passwort kompromittiert ist. Das ist jedoch nicht ganz richtig. Selbst wenn sie das Passwort haben, können die Hacker nicht ohne die anderen Informationen einbrechen, die Sie in den meisten Anmeldeformularen eingeben - den Benutzernamen. Die Leute merken einfach nicht, wie wichtig der Benutzername ist. Hacker tun dies jedoch. So kam es zu einem Angriff namens Passwort-Spritzen.

Passwort was ?!

Wenn Gauner ein Konto kompromittieren möchten, nehmen sie normalerweise den Benutzernamen (der häufig unsere E-Mail-Adresse ist) und versuchen ihn in Kombination mit vielen verschiedenen Passwörtern. Sie verwenden automatisierte Tools, die entweder auf langen Listen gängiger Kennwörter oder auf einem Algorithmus basieren, der zufällige Zeichen mischt. Dies ist der typische Brute-Force-Angriff, bei dem die Kriminellen den Benutzer bereits identifiziert haben und lediglich das Kennwort suchen müssen.

Bei einem Passwort-Sprühangriff ist es umgekehrt. Sie wissen (oder nehmen vielmehr an), dass mindestens ein Benutzer ein bestimmtes Passwort verwendet hat. Sie müssen nur herausfinden, wer diese Person ist. Dazu benötigen sie zwei Listen - eine mit Passwörtern und eine mit Benutzernamen. Die Liste der Passwörter ist viel kürzer als bei herkömmlichen Brute-Force-Versuchen, und die darin enthaltenen Einträge müssen relevant sein (wenn sie beispielsweise einen Angriff auf Amazon-Benutzer starten, sorgen die Hacker dafür, dass "amazon" "steht ganz oben in der Passwortliste). Die Art und Weise, wie die Benutzernamen gesammelt werden, hängt vom Ziel ab.

Die Gauner nehmen das erste Passwort in die Liste (z. B. "amazon") und versuchen es in Kombination mit den verschiedenen Benutzernamen. Dann nehmen sie das zweite Passwort und machen dasselbe und so weiter. Je nach Ziel ist es das Ziel, entweder so viele Benutzer wie möglich zu gefährden oder in ein Konto einzubrechen, wodurch Betrüger die Möglichkeit erhalten, das System weiter zu infiltrieren.

Wann verwenden Hacker das Passwortsprühen?

Obwohl Sie auf keinen Fall "amazon" als Passwort für Ihr Amazon-Konto verwenden dürfen, sollten wir fairerweise beachten, dass ein Angriff auf eine große Online-Plattform durch das Versprühen von Passwörtern nicht sehr wahrscheinlich ist. Es ist wahr, dass viele Menschen schrecklich einfache Passwörter verwenden, aber es hat wenig Sinn, eines dieser Passwörter zu verwenden und es dann mit Millionen und Abermillionen von E-Mail-Adressen auszuprobieren.

Es ist viel einfacher, eine Datenbank, die während eines Vorfalls mit Datenverletzung durchgesickert ist, zu ermitteln und beispielsweise einen Angriff zum Stoppen von Anmeldeinformationen durchzuführen. Selbst wenn Sie keinen durchgesickerten Datenspeicherauszug haben, ist es aufgrund der nahezu unbegrenzten Anzahl möglicher Benutzernamen wesentlich praktischer, das Kennwort zu erraten.

In einer Unternehmensumgebung liegen die Dinge jedoch ganz anders. Normalerweise gibt es in einer Organisation eine begrenzte Anzahl fehlgeschlagener Anmeldeversuche für jedes Konto, was bedeutet, dass Hacker nicht eine E-Mail-Adresse mit Zehntausenden verschiedener Kennwörter ausprobieren können, um die richtige Kombination zu erraten. Der Sperrmechanismus wird wahrscheinlich lange vor dem Erreichen einer Übereinstimmung aktiviert.

Gleichzeitig gibt es in einem Unternehmen eine bestimmte (nicht sehr große) Anzahl von Mitarbeitern, daher nicht so viele mögliche Benutzernamen. Oft ist es einfach, sie zu erhalten, indem Sie die Seite Über uns öffnen. Und was das Passwort betrifft, können die Hacker eine fundiertere Vermutung anstellen, da sie wissen, wen sie zu gefährden versuchen. Wenn sie beispielsweise Nike angreifen, ist die Wahrscheinlichkeit, dass sie "Just-do-it!" in ihrer Passwort-Liste anstatt zum Beispiel "adidas-rocks!".

Plötzlich macht ein Angriff durch das Versprühen von Passwörtern mehr Sinn, und es wird zur Notwendigkeit, sich und Ihr Unternehmen davor zu schützen.

Verhindern eines erfolgreichen Angriffs durch das Versprühen von Passwörtern

Im März stellten Microsoft, die Entwickler von Azure AD, einem Identitätsverwaltungssystem, das von vielen Unternehmen verwendet wird, einen Anstieg der Anzahl von Passwort-Sprühangriffen fest und stellten eine Liste von Tipps zusammen, die Sysadmins dabei helfen sollen, die Systeme und das System ihres Unternehmens zu stärken Eindringen verhindern.

Wie Sie vielleicht bereits vermutet haben, können Sie eine Reihe von Maßnahmen ergreifen, um einen Angriff durch das Versprühen von Passwörtern zu verhindern. So können Sie den Zugriff von außerhalb des Büros einschränken, IP-Adressen sperren, die zu viele fehlgeschlagene Anmeldeversuche verursachen, und ein Penetrationstest-Team beauftragen, um den Zustand Ihres Computers zu beurteilen Die IT-Infrastruktur des Unternehmens usw. Es gibt jedoch einige einfachere Schritte, mit denen Sie die Arbeit erledigen können - die Implementierung einer Multifaktorauthentifizierung für alle Benutzer und die Verwendung komplexerer Kennwörter.

Sie sollten nicht vergessen, dass ein Passwort-Sprühangriff immer noch darauf beruht, ein von einem Menschen erstelltes Passwort zu erraten. Menschen sind, wie wir in vielen anderen Artikeln festgestellt haben, nicht besonders gut darin, schwer zu erratende Passwörter zu erstellen. Sperren Sie offensichtliche und einfache Passwörter und zwingen Sie die Benutzer im Idealfall dazu, einen Passwort-Manager zu verwenden, der nicht nur komplexe Passwörter erstellt, sondern auch speichert.

Die Multi-Faktor-Authentifizierung ist der andere einfache Mechanismus, der einen Angriff durch das Versprühen von Passwörtern stoppen kann. Selbst mit der richtigen Kombination aus Benutzername und Passwort können Hacker nicht einbrechen, wenn zusätzliche Informationen benötigt werden. Gute Identitätsverwaltungssysteme verfügen über unterschiedliche Multifaktor-Authentifizierungsmechanismen. Alles, was Sysadmins tun müssen, ist sie zu überprüfen und herauszufinden, welche ihren Bedürfnissen am besten entspricht.

Das Sprühen von Passwörtern mag viel Arbeit bedeuten, aber Sie dürfen nicht vergessen, dass es sich um eine Unternehmensumgebung handelt, in der Hacker durch die Beeinträchtigung eines einzelnen Kontos manchmal die Möglichkeit erhalten, sich im gesamten System zu bewegen. Deshalb sollte die Bedrohung nicht unterschätzt und die notwendigen Vorkehrungen getroffen werden.

January 10, 2020