Che cos'è la spruzzatura delle password e come proteggere le password da esso?

Password Spraying

Quando parliamo della sicurezza dei nostri account, di solito parliamo di password perché le persone spesso assumono che se la tua password è compromessa, il tuo account è compromesso. Questo non è del tutto vero, però. Anche se hanno la password, gli hacker non possono entrare senza le altre informazioni che inserisci nella maggior parte dei moduli di accesso: il nome utente. Le persone semplicemente non comprendono quanto sia importante il nome utente. Gli hacker, tuttavia, lo fanno. È così che hanno inventato un attacco chiamato password spraying.

Password cosa?!

Di solito, quando i criminali vogliono compromettere un account, prendono il nome utente (che spesso è il nostro indirizzo e-mail) e lo provano in combinazione con molte password diverse. Usano strumenti automatizzati che si basano su lunghi elenchi di password comuni o su un algoritmo che mescola i caratteri a caso. Questo è il tipico attacco a forza bruta in cui i criminali hanno già identificato l'utente e devono solo trovare la password.

In un attacco a spruzzo di password, è il contrario. Sanno (o meglio suppongono) che almeno un utente abbia usato una determinata password. Devono solo scoprire chi è quella persona. Per fare ciò, hanno bisogno di due elenchi: uno con password e uno con nomi utente. L'elenco delle password è molto più breve di quanto non sarebbe in uno sforzo di forza bruta tradizionale e le voci in esso contenute devono essere pertinenti (ad esempio, se stanno montando un attacco sugli utenti di Amazon, gli hacker si assicureranno che "amazon "è da qualche parte vicino alla cima dell'elenco delle password). Per quanto riguarda i nomi utente, il modo in cui sono raccolti dipende dal bersaglio.

I truffatori prendono la prima password nell'elenco (ad es. "Amazon") e la provano in combinazione con tutti i diversi nomi utente. Quindi, prendono la seconda password e fanno lo stesso, e così via. A seconda dell'obiettivo, l'obiettivo è quello di compromettere il maggior numero possibile di utenti o di rompere in un account che darebbe ai truffatori l'opportunità di infiltrarsi ulteriormente nel sistema.

Quando gli hacker usano la password spray?

In tutta onestà, anche se sicuramente non devi usare "amazon" come password per il tuo account Amazon, dovremmo probabilmente notare che un attacco a spruzzo di password su una grande piattaforma online non è molto probabile. È vero che molte persone usano password atrocemente semplici, ma ha poco senso prendere una di quelle password e poi provarla con milioni e milioni di indirizzi e-mail.

È molto più facile prendere un database che è stato trapelato durante un incidente di violazione dei dati e provare ad esempio un attacco di riempimento delle credenziali. Anche se non hai un dump di dati trapelato, il numero quasi illimitato di nomi utente possibili rende indovinare la password un approccio molto più pratico.

In un ambiente aziendale, tuttavia, le cose sono molto diverse. Di solito, in un'organizzazione, esiste un numero limitato di tentativi di accesso non riusciti per ogni account, il che significa che gli hacker non possono provare un indirizzo e-mail con decine di migliaia di password diverse nella speranza di indovinare la giusta combinazione. Il meccanismo di blocco probabilmente entrerà in azione molto prima che riescano a trovare una corrispondenza.

Allo stesso tempo, in un'azienda esiste un certo numero (non molto elevato) di dipendenti, quindi non molti nomi utente possibili. Spesso ottenerli è semplice come aprire la pagina Chi siamo. E per quanto riguarda la password, poiché sanno chi stanno cercando di scendere a compromessi, gli hacker possono fare un'ipotesi più istruita. Ad esempio, se attaccano Nike, è molto più probabile che includano "fai-da-te!" nella loro lista di password piuttosto che "adidas-rocks!", per esempio.

Improvvisamente, un attacco a spruzzo di password inizia ad avere molto più senso e proteggere te stesso e la tua azienda da esso diventa una necessità.

Prevenire un attacco con spruzzo di password riuscito

A marzo, Microsoft, gli sviluppatori di Azure AD, un sistema di gestione delle identità utilizzato da molte aziende, hanno visto un aumento del numero di attacchi di spruzzo di password e hanno messo insieme un elenco di suggerimenti che dovrebbero aiutare gli amministratori di sistema a rafforzare i sistemi delle loro aziende e prevenire le intrusioni.

Come avrai già intuito, ci sono molte cose che puoi fare per prevenire un attacco a spruzzo di password: limitare l'accesso dall'esterno dell'ufficio, bloccare gli IP che fanno troppi tentativi di accesso falliti, assumere un team di test di penetrazione per valutare lo stato del tuo infrastruttura IT dell'azienda, ecc. Ci sono un paio di passaggi più semplici che possono fare il lavoro, implementando l'autenticazione a più fattori per tutti gli utenti e impiegando password più complesse.

Non dovresti dimenticare che un attacco a spruzzo di password si basa ancora sull'indovinare una password creata da un essere umano. Gli esseri umani, come abbiamo stabilito in molti altri articoli, non sono terribilmente bravi a creare password difficili da indovinare. Vietare password ovvie e semplici e, idealmente, forzare gli utenti a utilizzare un gestore di password che non solo creerà password complesse ma le memorizzerà.

L'autenticazione a più fattori è l'altro semplice meccanismo che può bloccare una password che spruzza un attacco nelle sue tracce. Anche con la corretta combinazione di nome utente e password, gli hacker non possono intervenire se sono necessarie ulteriori informazioni. I buoni sistemi di gestione delle identità hanno diversi meccanismi di autenticazione a più fattori. Tutto ciò che i amministratori di sistema devono fare è controllarli e vedere quale si adatta meglio alle loro esigenze.

L'irrorazione delle password potrebbe sembrare un sacco di lavoro, ma non devi dimenticare che stiamo parlando di un ambiente aziendale in cui compromettere un singolo account a volte dà agli hacker la possibilità di spostarsi in tutto il sistema. Ecco perché, la minaccia non deve essere sottovalutata e devono essere messe in atto le precauzioni necessarie.

January 10, 2020