Hva er passordsprøyting og hvordan kan du beskytte passordene dine mot det?

Password Spraying

Når vi snakker om sikkerheten til våre kontoer, snakker vi vanligvis om passord fordi folk ofte antar at hvis passordet ditt er kompromittert, blir kontoen din kompromittert. Det er ikke helt sant. Selv om de har passordet, kan ikke hackerne bryte seg inn uten den andre informasjonen du oppgir på de fleste påloggingsformer - brukernavnet. Folk skjønner rett og slett ikke hvor viktig brukernavnet er. Hackere gjør det imidlertid. Slik kom de opp med et angrep kalt passordsprøyting.

Passord hva ?!

Vanligvis, når skurker ønsker å inngå kompromisser med en konto, tar de brukernavnet (som ofte er e-postadressen vår) og prøver den i kombinasjon med mange forskjellige passord. De bruker automatiserte verktøy som stoler enten på lange lister med vanlige passord eller på en algoritme som blander tegn tilfeldig. Dette er det typiske angrepet mot brute-force som de kriminelle allerede har identifisert brukeren, og de trenger bare å finne passordet.

I et passordsprøyteangrep er det omvendt. De vet (eller rettere sagt, antar) at minst en bruker har brukt et gitt passord. De trenger bare å finne ut hvem den personen er. For å gjøre det trenger de to lister - en med passord og en med brukernavn. Listen over passord er mye kortere enn den ville være i en tradisjonell brute-force-innsats, og oppføringene i den må være relevante (hvis de for eksempel bruker et angrep på Amazon-brukere, vil hackerne sørge for at "amazon "er et sted nær toppen av passordlisten). Når det gjelder brukernavnene, avhenger av hvordan de samles.

Crooks tar det første passordet på listen (f.eks. "Amazon") og prøver det i kombinasjon med alle de forskjellige brukernavnene. Deretter tar de det andre passordet og gjør det samme, og så videre. Avhengig av hvilket mål som er, er målet å enten gå på akkord med så mange brukere som mulig eller å dele inn en konto som vil gi skurkene muligheten til å infiltrere systemet ytterligere.

Når bruker hackere sprøyting av passord?

Selv om du absolutt ikke må bruke "amazon" som passord for Amazon-kontoen din, må vi nok merke at et passordsprøyteangrep på en stor online-plattform ikke er veldig sannsynlig. Det er sant at mange bruker grusomme enkle passord, men det er lite poeng i å ta et av disse passordene og deretter prøve det ut med millioner på millioner av e-postadresser.

Det er mye enklere å ta en database som har blitt lekket under en hendelse med brudd på data og prøve ut et legitimasjonsstoppningsangrep, for eksempel. Selv om du ikke har en lekket datadump, gjør det nesten ubegrensede antall mulige brukernavn å gjette passordet til en langt mer praktisk tilnærming.

I et bedriftsmiljø er ting imidlertid mye annerledes. I en organisasjon er det vanligvis et begrenset antall mislykkede påloggingsforsøk for hver konto, noe som betyr at hackere ikke kan prøve ut en e-postadresse med titusenvis av forskjellige passord i håp om å gjette riktig kombinasjon. Låsemekanismen vil sannsynligvis sparke inn lenge før de klarer å finne en kamp.

Samtidig er det i et selskap et visst (ikke veldig stort) antall ansatte, og dermed ikke så mange mulige brukernavn. Ofte er det like enkelt å skaffe dem som å åpne Om oss-siden. Og med hensyn til passordet, siden de vet hvem de prøver å inngå kompromisser, kan hackerne komme med en mer utdannet gjetning. Hvis de for eksempel angriper Nike, er det mye mer sannsynlig at de inkluderer "bare-gjør-det!" i passordlisten sin i stedet for "adidas-rock!", for eksempel.

Plutselig begynner et passordsprøyteangrep å være mye mer fornuftig, og å beskytte deg selv og din bedrift mot det blir en nødvendighet.

Forhindrer et vellykket angrep med passordsprøyting

I mars så Microsoft, utviklerne av Azure AD, et identitetshåndteringssystem som brukes av mange bedrifter, en økning i antall passordsprøyteangrep, og de satt sammen en liste over tips som er ment å hjelpe sysadmins med å styrke selskapenes systemer og forhindre inntrenging.

Som du kanskje allerede har gjettet, er det mange ting du kan gjøre for å forhindre et passordsprøyteangrep - begrense tilgangen utenfor kontoret, låse ut IP-er som gjør for mange mislykkede påloggingsforsøk, ansetter et penetrasjonstestteam for å vurdere tilstanden til bedriftens IT-infrastruktur, etc. Det er et par enklere trinn som kan gjøre jobben, men - implementere flerfaktorautentisering for alle brukere og bruke mer komplekse passord.

Du bør ikke glemme at et passordsprøyteangrep fortsatt er avhengig av å gjette et passord som ble opprettet av et menneske. Mennesker, som vi har etablert i mange andre artikler, er ikke veldig flinke til å lage vanskelig å gjette passord. Forbud åpenbare og enkle passord, og ideelt sett tvinger brukerne til å bruke en passordbehandling som ikke bare vil lage komplekse passord, men også vil lagre dem.

Multifaktorautentisering er den andre enkle mekanismen som kan stoppe et passordsprøyteangrep i sporene. Selv med riktig brukernavn og passordkombinasjon, kan ikke hackere bryte seg inn hvis det kreves en ekstra informasjon. Gode identitetsstyringssystemer har forskjellige multifaktor-autentiseringsmekanismer. Alt sysadmins trenger å gjøre er å sjekke dem ut og se hvilken som passer deres behov best.

Sprøyting av passord kan virke som mye arbeid, men du må ikke glemme at vi snakker om et bedriftsmiljø der det å kompromittere en enkelt konto noen ganger gir hackere muligheten til å bevege seg i hele systemet. Derfor bør ikke trusselen undervurderes, og nødvendige forholdsregler bør settes i verk.

January 10, 2020