Mi a jelszópermet és hogyan védje meg annak ellenére a jelszavait?

Password Spraying

Amikor fiókjaink biztonságáról beszélünk, általában a jelszavakról beszélünk, mert az emberek gyakran azt gondolják, hogy ha a jelszavadat megsértik, akkor a fiókját veszélyezteti. De ez nem teljesen igaz. A hackerek még akkor is, ha rendelkeznek jelszóval, nem tudnak betörni a legtöbb bejelentkezési űrlapon megadott egyéb információ nélkül - a felhasználónév. Az emberek egyszerűen nem veszik észre, milyen fontos a felhasználónév. A hackerek azonban megteszik. Így jöttek létre egy jelszószórásnak nevezett támadással.

Mi a jelszó?!

Általában, amikor a csalók kompromittálni akarnak egy fiókot, akkor elveszik a felhasználónevet (amely gyakran az e-mail címünk), és sok különböző jelszóval kombinálva kipróbálják. Automatizált eszközöket használnak, amelyek vagy a közös jelszavak hosszú listáira, vagy egy algoritmusra támaszkodnak, amely véletlenszerűen keveri a karaktereket. Ez a tipikus brute-force támadás, amelyben a bűnözők már azonosították a felhasználót, és csak meg kell találniuk a jelszót.

Jelszószóró támadás esetén fordítva van. Tudják (vagy inkább feltételezik), hogy legalább egy felhasználó használta az adott jelszót. Csak meg kell tudniuk, ki ez a személy. Ehhez két listára van szükségük - egyet jelszavakkal és egy felhasználónevekkel. A jelszavak listája sokkal rövidebb, mintha ez a hagyományos brute-force erőfeszítésnél lenne, és a benne szereplő bejegyzéseknek relevánsnak kell lenniük (például, ha támadást kezdenek az Amazon-felhasználók ellen, a hackerek meggyőződnek arról, hogy „amazon "valahol a jelszólista tetején található). Ami a felhasználóneveket illeti, a gyűjtésük módja a céltól függ.

A csalók veszik a listán az első jelszót (pl. "Amazon"), és kipróbálják az összes különféle felhasználónévvel együtt. Ezután megkapják a második jelszót, és ugyanezt teszik, és így tovább. A céltól függően a cél az, hogy a lehető legtöbb felhasználót veszélyeztesse, vagy egy fiókra törjön, ami lehetőséget adna a csalóknak a rendszer további beszivárgására.

Mikor használják a hackerek a jelszó permetezését?

A méltányosság kedvéért, bár feltétlenül tilos az "amazon" jelszavát használni az Amazon-fiókodhoz, valószínűleg meg kell jegyeznünk, hogy egy nagy online platformon történő jelszószóró támadás nem valószínű. Igaz, hogy sokan szörnyűen egyszerű jelszavakat használnak, de nincs értelme ezen jelszavak egyikét elvenni, majd egymillióval e-mail címekkel kipróbálni.

Sokkal könnyebb elvégezni egy adatbázist, amely kiszivárogtatott egy adatsértési esemény során, és kipróbálni például egy hitelesítő adatok kitöltésének támadását. Még ha nincs szivárgott adatmentője is, a szinte korlátlan számú lehetséges felhasználónév sokkal gyakorlatibb megközelítést tesz lehetővé a jelszó kitalálására.

A vállalati környezetben azonban a dolgok sokkal különböznek. Általában egy szervezetnél korlátozott számú sikertelen bejelentkezési kísérlet létezik minden fiókhoz, ami azt jelenti, hogy a hackerek nem tudnak kipróbálni egy e-mail címet több tízezer különböző jelszóval annak reményében, hogy kitalálják a megfelelő kombinációt. A lezárási mechanizmus valószínűleg régóta elindul, mielőtt sikerül találniuk a mérkőzést.

Ugyanakkor egy társaságban van egy bizonyos (nem túl nagy) alkalmazotti létszám, tehát nem olyan sok lehetséges felhasználónév. Ezek megszerzése gyakran olyan egyszerű, mint a Rólunk oldal megnyitása. És ami a jelszót illeti, mivel tudják, hogy kit próbálnak veszélyeztetni, a hackerek oktatottabb kitalálást tudnak tenni. Például, ha megtámadják a Nike-t, sokkal nagyobb valószínűséggel tartalmazzák a "csak csináld!" például a "jelszó listájukban", mint például az "adidas-rocks!".

Hirtelen a jelszószóró támadás sokkal értelmesebbé válik, és szükségessé válik önmaga és vállalkozása védelme.

A sikeres jelszószóró támadás megakadályozása

Márciusban a Microsoft, az Azure AD fejlesztője, amely sok vállalkozás által használt identitáskezelő rendszert megnövekedett a jelszószóró támadások számában, és összeállított egy olyan tippet tartalmazó listát, amelyek állítólag segítenek a rendszergazdák megerősíteni vállalkozásuk rendszereit, és megakadályozzák a behatolást.

Mint már feltételezte, a dolgok megszüntetése érdekében a jelszószóró támadást meg lehet akadályozni - korlátozhatja az irodán kívüli hozzáférést, lezárhatja a túl sok sikertelen bejelentkezési kísérletet végrehajtó IP-ket, behatolhat egy penetrációs tesztelő csoportba az Ön állapotának felmérésére. A vállalat IT infrastruktúrája stb. Van néhány egyszerűbb lépés, amely elvégzi a munkát - több tényezős hitelesítés végrehajtása minden felhasználó számára és összetettebb jelszavak használata.

Ne felejtse el, hogy a jelszószóró támadás továbbra is azon a jelszó kitalálásán alapul, amelyet egy ember hozott létre. Az emberek, amint azt sok más cikkben megállapítottuk, nem rendkívül jók a nehezen kitalálható jelszavak létrehozásában. Tiltja a nyilvánvaló és egyszerű jelszavakat, és ideális esetben arra kényszerítse a felhasználókat, hogy jelszókezelőt használnak, amely nemcsak összetett jelszavakat fog létrehozni, hanem tárolni is fogja azokat.

A többtényezős hitelesítés a másik egyszerű mechanizmus, amely megállíthatja a jelszavak permetezésének támadását a nyomvonalain. A hackerek még a helyes felhasználónév és jelszó kombinációval sem tudnak betörni, ha további információra van szükség. A jó identitáskezelő rendszereknek különféle több tényezőjű hitelesítési mechanizmusai vannak. A rendszergazdáknak csak ellenőrizniük kell őket, és meg kell nézniük, melyik a legmegfelelőbb az igényeikhez.

A jelszószórás sok munkanak tűnhet, de nem szabad elfelejteni, hogy olyan vállalati környezetről beszélünk, ahol egyetlen fiók veszélyeztetése időnként lehetővé teszi a hackerek számára, hogy a rendszer egészében mozogjanak. Ezért nem szabad alábecsülni a veszélyt, és be kell vezetni a szükséges óvintézkedéseket.

January 10, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.