Τι είναι ο ψεκασμός με κωδικό πρόσβασης και πώς να προστατεύσετε τους κωδικούς σας ενάντια σε αυτό;

Password Spraying

Όταν μιλάμε για την ασφάλεια των λογαριασμών μας, συνήθως μιλάμε για κωδικούς πρόσβασης, επειδή οι άνθρωποι συχνά υποθέτουν ότι, αν ο κωδικός σας είναι συμβιβασμένος, ο λογαριασμός σας διακυβεύεται. Αυτό δεν είναι εντελώς αλήθεια, όμως. Ακόμη και αν έχουν τον κωδικό πρόσβασης, οι χάκερ δεν μπορούν να εισέλθουν χωρίς την άλλη πληροφορία που εισάγετε στις περισσότερες φόρμες σύνδεσης - το όνομα χρήστη. Οι άνθρωποι απλά δεν συνειδητοποιούν πόσο σημαντικό είναι το όνομα χρήστη. Ωστόσο, οι χάκερ. Έτσι ξεκίνησε μια επίθεση που ονομάζεται ψεκασμός με κωδικό πρόσβασης.

Κωδικός τι ;!

Συνήθως, όταν οι απατεώνες θέλουν να θέσουν σε κίνδυνο ένα λογαριασμό, παίρνουν το όνομα χρήστη (το οποίο είναι συχνά η διεύθυνση ηλεκτρονικού ταχυδρομείου μας) και δοκιμάστε το σε συνδυασμό με πολλούς διαφορετικούς κωδικούς πρόσβασης. Χρησιμοποιούν αυτοματοποιημένα εργαλεία που βασίζονται είτε σε μακρές λίστες κοινών κωδικών πρόσβασης είτε σε αλγόριθμο που συνδυάζει τυχαία τους χαρακτήρες. Αυτή είναι η τυπική επίθεση βίαιης δύναμης στην οποία οι εγκληματίες έχουν ήδη εντοπίσει τον χρήστη και πρέπει απλώς να βρουν τον κωδικό πρόσβασης.

Σε μια επίθεση ψεκασμού με κωδικό πρόσβασης, είναι το αντίστροφο. Ξέρουν (ή μάλλον, υποθέτουν) ότι τουλάχιστον ένας χρήστης έχει χρησιμοποιήσει έναν συγκεκριμένο κωδικό πρόσβασης. Απλώς πρέπει να μάθουν ποιος είναι αυτός. Για να γίνει αυτό, χρειάζονται δύο λίστες - μία με κωδικούς πρόσβασης και μία με ονόματα χρηστών. Ο κατάλογος των κωδικών πρόσβασης είναι πολύ μικρότερος από ό, τι θα ήταν σε μια προσπάθεια παραδοσιακής βίαιης δύναμης και οι καταχωρίσεις σε αυτό θα πρέπει να είναι σχετικές (για παράδειγμα, εάν επιτεθούν επίθεση στους χρήστες του Amazon, οι hackers θα σιγουρευτούν ότι το "amazon "βρίσκεται κάπου κοντά στην κορυφή της λίστας κωδικών πρόσβασης). Όσον αφορά τα ονόματα χρηστών, ο τρόπος με τον οποίο συγκεντρώνονται εξαρτάται από το στόχο.

Οι απατεώνες παίρνουν τον πρώτο κωδικό πρόσβασης στη λίστα (π.χ. "amazon") και το δοκιμάζουν σε συνδυασμό με όλα τα διαφορετικά ονόματα χρηστών. Στη συνέχεια, παίρνουν τον δεύτερο κωδικό πρόσβασης και κάνουν το ίδιο, και ούτω καθεξής. Ανάλογα με τον στόχο, ο στόχος είναι να συμβιβαστεί όσο το δυνατόν περισσότεροι χρήστες ή να σπάσει ένας λογαριασμός, ο οποίος θα δώσει στους απατεώνες την ευκαιρία να διεισδύσουν περαιτέρω στο σύστημα.

Πότε οι χάκερ χρησιμοποιούν ψεκασμό κωδικού πρόσβασης;

Σε δίκαιη δίκη, ενώ σίγουρα δεν πρέπει να χρησιμοποιείτε το "amazon" ως τον κωδικό πρόσβασης για τον λογαριασμό σας στο Amazon, θα πρέπει πιθανώς να σημειώσουμε ότι η επίθεση ψεκασμού κωδικού πρόσβασης σε μια μεγάλη ηλεκτρονική πλατφόρμα δεν είναι πολύ πιθανή. Είναι αλήθεια ότι πολλοί άνθρωποι χρησιμοποιούν αυθαίρετα απλούς κωδικούς πρόσβασης, αλλά δεν έχει νόημα να παίρνετε έναν από αυτούς τους κωδικούς πρόσβασης και στη συνέχεια να το δοκιμάζετε με εκατομμύρια εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου.

Είναι πολύ πιο εύκολο να πάρετε μια βάση δεδομένων που έχει διαρρεύσει κατά τη διάρκεια ενός περιστατικού παραβίασης δεδομένων και να δοκιμάσετε, για παράδειγμα, μια επίθεση γεμίσματος πιστοποίησης. Ακόμα και αν δεν έχετε διαρροή δεδομένων, ο σχεδόν απεριόριστος αριθμός πιθανών ονομάτων χρηστών καθιστά τον κωδικό πρόσβασης μια πιο πρακτική προσέγγιση.

Σε ένα επιχειρηματικό περιβάλλον, ωστόσο, τα πράγματα είναι πολύ διαφορετικά. Συνήθως, σε έναν οργανισμό, υπάρχει ένας περιορισμένος αριθμός αποτυχημένων προσπαθειών σύνδεσης για κάθε λογαριασμό, πράγμα που σημαίνει ότι οι χάκερ δεν μπορούν να δοκιμάσουν μια διεύθυνση ηλεκτρονικού ταχυδρομείου με δεκάδες χιλιάδες διαφορετικούς κωδικούς πρόσβασης, με την ελπίδα να μαντέψουν τον σωστό συνδυασμό. Ο μηχανισμός ασφάλισης πιθανότατα θα χτυπήσει πολύ πριν καταφέρει να βρει έναν αγώνα.

Ταυτόχρονα, σε μια εταιρεία, υπάρχει ένας (όχι πολύ μεγάλος) αριθμός εργαζομένων, επομένως, όχι πολλά πιθανά ονόματα χρηστών. Συχνά, η απόκτηση τους είναι τόσο απλή όσο το άνοιγμα της σελίδας Σχετικά με εμάς. Και όσο αφορά τον κωδικό πρόσβασης, επειδή γνωρίζουν ποιοι προσπαθούν να συμβιβαστούν, οι χάκερ μπορούν να κάνουν μια πιο μορφωμένη εικασία. Για παράδειγμα, αν επιτίθενται στη Nike, είναι πολύ πιο πιθανό να συμπεριλάβουν "just-do-it!" στη λίστα κωδικών πρόσβασης και όχι στο "adidas-rocks!", για παράδειγμα.

Ξαφνικά, μια επίθεση ψεκασμού κωδικού πρόσβασης αρχίζει να κάνει πολύ πιο νόημα, και η προστασία του εαυτού σας και της εταιρείας σας από αυτό γίνεται μια αναγκαιότητα.

Πρόληψη επιτυχούς επίθεσης ψεκασμού με κωδικό πρόσβασης

Τον Μάρτιο, η Microsoft, οι προγραμματιστές της Azure AD, ένα σύστημα διαχείρισης ταυτότητας που χρησιμοποιείται από πολλές επιχειρήσεις, είδε μια αύξηση του αριθμού των επιθέσεων ψεκασμού κωδικού πρόσβασης και συνέταξαν έναν κατάλογο συμβουλών που υποτίθεται ότι βοηθούσαν τους sysadmins να ενισχύσουν τα συστήματα των επιχειρήσεων τους αποτρέπουν την εισβολή.

Όπως ίσως έχετε μαντέψει ήδη, υπάρχουν πολλά πράγματα που μπορείτε να κάνετε για να αποφύγετε μια επίθεση ψεκασμού με κωδικό πρόσβασης - περιορίζοντας την πρόσβαση από το εξωτερικό του γραφείου, κλειδώνοντας τα IP που κάνουν πολλές αποτυχημένες προσπάθειες σύνδεσης, προσλαμβάνοντας μια ομάδα δοκιμών διείσδυσης για να αξιολογήσετε την κατάσταση του την υποδομή πληροφορικής της εταιρείας κ.λπ. Υπάρχουν όμως μερικά απλούστερα βήματα που μπορούν να κάνουν τη δουλειά - εφαρμόζοντας έλεγχο ταυτότητας πολλαπλών παραγόντων για όλους τους χρήστες και απασχολώντας πιο σύνθετους κωδικούς πρόσβασης.

Δεν πρέπει να ξεχνάτε ότι μια επίθεση ψεκασμού κωδικού πρόσβασης εξακολουθεί να βασίζεται στην μαντέψουν έναν κωδικό πρόσβασης που δημιουργήθηκε από έναν άνθρωπο. Τα ανθρώπινα όντα, όπως έχουμε διαπιστώσει σε πολλά άλλα άρθρα, δεν είναι τρομερά καλοί στη δημιουργία κωδικών πρόσβασης δύσκολο να μαντέψουν. Απενεργοποιήστε τους προφανείς και απλούς κωδικούς πρόσβασης και, στην ιδανική περίπτωση, εξαναγκάστε τους χρήστες να χρησιμοποιούν έναν διαχειριστή κωδικών που δεν θα δημιουργεί μόνο πολύπλοκους κωδικούς πρόσβασης αλλά θα τις αποθηκεύει επίσης.

Ο έλεγχος ταυτότητας πολλαπλών παραγόντων είναι ο άλλος απλός μηχανισμός που μπορεί να σταματήσει μια επίθεση ψεκασμού κωδικού πρόσβασης στα ίχνη του. Ακόμη και με το σωστό συνδυασμό ονόματος χρήστη και κωδικού πρόσβασης, οι χάκερ δεν μπορούν να σπάσουν εάν απαιτείται πρόσθετη πληροφορία. Τα καλά συστήματα διαχείρισης ταυτότητας έχουν διαφορετικούς μηχανισμούς επαλήθευσης πολλαπλών παραγόντων. Όλα τα sysadmins πρέπει να κάνουμε είναι να τα ελέγξουμε και να δούμε ποια ταιριάζει καλύτερα στις ανάγκες τους.

Ο ψεκασμός με κωδικό μπορεί να φαίνεται σαν πολλή δουλειά, αλλά δεν πρέπει να ξεχνάτε ότι μιλάμε για ένα επιχειρησιακό περιβάλλον όπου ο συμβιβασμός ενός μόνο λογαριασμού δίνει μερικές φορές τη δυνατότητα στους χάκερς να μετακινούνται σε όλο το σύστημα. Αυτός είναι ο λόγος για τον οποίο η απειλή δεν πρέπει να υποτιμηθεί και πρέπει να ληφθούν τα απαραίτητα μέτρα προφύλαξης.

January 10, 2020