Kas yra slaptažodžių purškimas ir kaip nuo to apsaugoti savo slaptažodžius?

Password Spraying

Kai mes kalbame apie savo sąskaitų saugumą, paprastai kalbame apie slaptažodžius, nes žmonės dažnai mano, kad jei jūsų slaptažodis yra pažeistas, jūsų sąskaita yra pažeista. Vis dėlto tai nėra visiškai tiesa. Net jei jie turi slaptažodį, įsilaužėliai negali įsilaužti be kitos informacijos, kurią įvedate daugelyje prisijungimo formų - vartotojo vardą. Žmonės tiesiog nesuvokia, koks svarbus yra vartotojo vardas. Piratai vis dėlto daro. Taip jie sugalvojo išpuolį, vadinamą slaptažodžių purškimu.

Koks slaptažodis?!

Paprastai, kai sukčiai nori pakenkti paskyrai, jie paima vartotojo vardą (kuris dažnai yra mūsų el. Pašto adresas) ir išbando jį kartu su daugybe skirtingų slaptažodžių. Jie naudoja automatinius įrankius, kurie remiasi arba ilgais įprastų slaptažodžių sąrašais, arba algoritmu, kuris atsitiktinai susimaišo simbolius. Tai yra tipiškas žiaurios jėgos išpuolis, kurio metu nusikaltėliai jau nustatė vartotoją, ir jiems tereikia surasti slaptažodį.

Jei slaptažodžiu purškiama, tai atvirkščiai. Jie žino (tiksliau taria, mano), kad bent vienas vartotojas yra naudojęs nurodytą slaptažodį. Jie tiesiog turi išsiaiškinti, kas yra tas žmogus. Tam reikia dviejų sąrašų - vieno su slaptažodžiais ir kito su vartotojo vardais. Slaptažodžių sąrašas yra daug trumpesnis, nei tai būtų daroma tradicinėmis žiaurios jėgos pastangomis, o jame esantys įrašai turi būti svarbūs (pavyzdžiui, jei jie rengia išpuolį prieš „Amazon“ vartotojus, įsilaužėliai įsitikins, kad „amazon“ "yra kažkur netoli slaptažodžių sąrašo viršaus). Vartotojų vardų rinkimo būdas priklauso nuo tikslo.

Sukčiai pasiima pirmąjį slaptažodį sąraše (pvz., „Amazon“) ir išbando jį kartu su visais skirtingais vartotojo vardais. Tada jie imasi antrojo slaptažodžio ir daro tą patį ir pan. Atsižvelgiant į tikslą, siekiama arba sukompromituoti kuo daugiau vartotojų, arba suskaidyti į vieną sąskaitą, o tai sukčiams suteiktų galimybę toliau įsiskverbti į sistemą.

Kada įsilaužėliai naudoja slaptažodžio purškimą?

Sąžiningai, nors jūs tikrai neturėtumėte naudoti „amazon“ kaip savo „Amazon“ paskyros slaptažodžio, tikriausiai turėtume atkreipti dėmesį, kad slaptažodžio purškimo užpuolimas didelėje internetinėje platformoje nėra labai tikėtinas. Tiesa, kad daugelis žmonių naudoja žiauriai paprastus slaptažodžius, tačiau nėra prasmės pasiimti vieną iš tų slaptažodžių ir išbandyti jį naudojant milijonus el. Pašto adresų.

Daug lengviau pasiimti duomenų bazę, kuri buvo nutekinta per duomenų pažeidimo atvejį, ir išbandyti, pavyzdžiui, kredencialų užpildymo ataką. Net jei neturite duomenų nutekėjimo, beveik neribotas galimų naudotojų vardų skaičius atspėti slaptažodį tampa praktiškesnis.

Tačiau verslo aplinkoje viskas yra daug kitaip. Paprastai kiekvienoje paskyroje organizacijoje yra ribotas nepavykusių prisijungimo bandymų skaičius, o tai reiškia, kad įsilaužėliai negali išbandyti vieno el. Pašto adreso su dešimtimis tūkstančių skirtingų slaptažodžių, tikėdamiesi atspėti tinkamą derinį. Blokavimo mechanizmas greičiausiai įsitrauks dar ilgai, kol jiems pavyks rasti rungtynes.

Tuo pačiu metu įmonėje yra tam tikras (ne labai didelis) darbuotojų skaičius, taigi, nėra tiek daug galimų vartotojo vardų. Dažnai juos gauti yra taip paprasta, kaip atidaryti puslapį Apie mus. Dėl slaptažodžio, kadangi jie žino, kam jie bando pakenkti, įsilaužėliai gali labiau atspėti. Pvz., Jei jie puola „Nike“, daug didesnė tikimybė, kad jie įtrauks „tiesiog daryk!“. jų slaptažodžių sąraše, o ne, pavyzdžiui, „adidas-rocks!“.

Staiga slaptažodžio purškimo užpuolimas pradeda daug daugiau prasmės, o apsaugoti save ir savo įmonę nuo to tampa būtinybe.

Sėkmingo slaptažodžio purškimo užpuolimo prevencija

Kovo, "Microsoft", iš Azure AD, naudojama daugelyje įmonių tapatybės valdymo sistemos kūrėjai pamatė į slaptažodžio purškimo atakų skaičius uptick, ir jie kartu sudėjus keletą patarimų sąrašą, kurie turėtų padėti adminams stiprinti savo įmonių sistemas ir užkirsti kelią įsibrovimui.

Kaip jau spėjote atspėti, yra keletas dalykų, kuriuos galite padaryti norėdami išvengti slaptažodžių purškimo: apriboti prieigą iš biuro ribų, užrakinti IP, per kuriuos bandoma prisijungti per daug nepavykusių bandymų, pasamdyti skverbties tikrinimo komandą, kad įvertintumėte jūsų būseną. įmonės IT infrastruktūra ir tt Yra keletas paprastesnių žingsnių, kuriuos atliekant galima atlikti darbus - įdiegiant visų veiksnių autentifikavimą visiems vartotojams ir naudojant sudėtingesnius slaptažodžius.

Turėtumėte nepamiršti, kad slaptažodžio purškimo užpuolimas vis tiek priklauso nuo žmogaus sukurto slaptažodžio atspėjimo. Žmonės, kaip mes nustatėme daugelyje kitų straipsnių, nėra baisiai geri kurdami sunkiai atspėjamus slaptažodžius. Uždrausti aiškius ir paprastus slaptažodžius ir, idealu, priversti vartotojus naudoti slaptažodžių tvarkytuvę, kuri ne tik sukurs sudėtingus slaptažodžius, bet ir juos saugos.

Kelių veiksnių autentifikavimas yra kitas paprastas mechanizmas, galintis sustabdyti slaptažodžių purškimo išpuolius jo trasose. Net turėdami teisingą vartotojo vardą ir slaptažodį, įsilaužėliai negali įsilaužti, jei reikia papildomos informacijos. Geros tapatybės valdymo sistemos turi skirtingus kelių veiksnių autentifikavimo mechanizmus. Visi sisteminiai administratoriai turi juos patikrinti ir išsiaiškinti, kuris jų poreikius geriausiai atitinka.

Purškimas slaptažodžiu gali būti daug darbo reikalaujantis, tačiau nereikia pamiršti, kad kalbame apie įmonės aplinką, kurioje kompromituodami vieną sąskaitą, įsilaužėliai kartais gali judėti visoje sistemoje. Štai kodėl nereikėtų nuvertinti grėsmės ir imtis būtinų atsargumo priemonių.

January 10, 2020