Wat is wachtwoord spuiten en hoe kunt u uw wachtwoorden daartegen beschermen?

Password Spraying

Als we het hebben over de beveiliging van onze accounts, hebben we het meestal over wachtwoorden omdat mensen er vaak van uitgaan dat als uw wachtwoord is aangetast, uw account is aangetast. Dat is echter niet helemaal waar. Zelfs als ze het wachtwoord hebben, kunnen de hackers niet inbreken zonder het andere stukje informatie dat u op de meeste inlogformulieren invoert - de gebruikersnaam. Mensen realiseren zich gewoon niet hoe belangrijk de gebruikersnaam is. Hackers doen dat echter wel. Dat is hoe ze met een aanval kwamen, wachtwoordspuiten genaamd.

Wachtwoord wat ?!

Wanneer boeven een account willen misbruiken, nemen ze meestal de gebruikersnaam (vaak ons e-mailadres) en proberen deze in combinatie met veel verschillende wachtwoorden. Ze gebruiken geautomatiseerde tools die vertrouwen op lange lijsten met veel voorkomende wachtwoorden of op een algoritme dat willekeurige tekens combineert. Dit is de typische brute-force aanval waarbij de criminelen de gebruiker al hebben geïdentificeerd, en ze moeten alleen het wachtwoord vinden.

Bij een paswoord-aanval is het andersom. Ze weten (of liever veronderstellen) dat ten minste één gebruiker een bepaald wachtwoord heeft gebruikt. Ze moeten er gewoon achter komen wie die persoon is. Daarvoor hebben ze twee lijsten nodig - een met wachtwoorden en een met gebruikersnamen. De lijst met wachtwoorden is veel korter dan bij een traditionele brute-force inspanning en de vermeldingen daarin moeten relevant zijn (bijvoorbeeld, als ze een aanval op Amazon-gebruikers opzetten, zorgen de hackers ervoor dat "amazon "staat ergens bovenaan de lijst met wachtwoorden). Wat de gebruikersnamen betreft, de manier waarop ze worden verzameld, is afhankelijk van het doel.

De boeven nemen het eerste wachtwoord op de lijst (bijvoorbeeld "amazon") en proberen het in combinatie met alle verschillende gebruikersnamen. Vervolgens nemen ze het tweede wachtwoord en doen hetzelfde, enzovoort. Afhankelijk van het doel, is het doel om zoveel mogelijk gebruikers te compromitteren of om in één account in te breken waardoor boeven de mogelijkheid krijgen om het systeem verder te infiltreren.

Wanneer gebruiken hackers wachtwoordspray?

In alle eerlijkheid, terwijl je moet zeker niet "amazon" gebruiken als het wachtwoord voor uw Amazon-account, we waarschijnlijk moeten er rekening mee dat een wachtwoord spuiten aanval op een grote online platform is niet erg waarschijnlijk. Het is waar dat veel mensen gruwelijk eenvoudige wachtwoorden gebruiken, maar het heeft weinig zin om een van die wachtwoorden te nemen en het vervolgens met miljoenen en miljoenen e-mailadressen uit te proberen.

Het is veel eenvoudiger om een database te nemen die is uitgelekt tijdens een datalek en bijvoorbeeld een 'stuffing'-aanval uit te proberen. Zelfs als u geen gelekte gegevensdump hebt, maakt het bijna onbeperkte aantal mogelijke gebruikersnamen het raden van het wachtwoord een veel praktischer aanpak.

In een bedrijfsomgeving zijn de dingen echter heel anders. Gewoonlijk is er bij een organisatie een beperkt aantal mislukte inlogpogingen voor elk account, wat betekent dat hackers niet één e-mailadres met tienduizenden verschillende wachtwoorden kunnen uitproberen in de hoop de juiste combinatie te raden. Het lockout-mechanisme zal waarschijnlijk lang in werking treden voordat ze erin slagen een match te vinden.

Tegelijkertijd is er in een bedrijf een bepaald (niet erg groot) aantal werknemers, dus niet zoveel mogelijke gebruikersnamen. Vaak is het zo eenvoudig om de pagina Over ons te openen. En wat het wachtwoord betreft, aangezien de hackers weten wie ze een compromis proberen aan te gaan, kunnen ze een beter onderbouwde gok doen. Als ze bijvoorbeeld Nike aanvallen, is de kans veel groter dat 'just-do-it!' in hun wachtwoordlijst in plaats van bijvoorbeeld 'adidas-rocks!'

Plots begint een aanval met wachtwoordbeveiliging veel zinvoller te worden en wordt het beschermen van uzelf en uw bedrijf een noodzaak.

Voorkomen van een succesvolle wachtwoord-spray-aanval

In maart zagen Microsoft, de ontwikkelaars van Azure AD, een identiteitsbeheersysteem dat door veel bedrijven wordt gebruikt, een toename van het aantal wachtwoordspray-aanvallen, en zij stelden een lijst met tips samen die verondersteld worden sysadmins te helpen de systemen van hun onderneming te versterken en inbraak voorkomen.

Zoals je misschien al hebt geraden, zijn er veel dingen die je kunt doen om een aanval met wachtwoordbeveiliging te voorkomen: toegang van buitenaf beperken, IP's blokkeren die te veel mislukte inlogpogingen doen, een penetratietest inhuren om de status van je de IT-infrastructuur van het bedrijf, enz. Er zijn echter een paar eenvoudiger stappen die het werk kunnen doen - het implementeren van multi-factor authenticatie voor alle gebruikers en het gebruik van complexere wachtwoorden.

Je moet niet vergeten dat een aanval met wachtwoordspuiten nog steeds afhankelijk is van het raden van een wachtwoord dat door een mens is gemaakt. Mensen, zoals we in veel andere artikelen hebben vastgesteld, zijn niet erg goed in het maken van moeilijk te raden wachtwoorden. Verbied voor de hand liggende en eenvoudige wachtwoorden en, idealiter, dwing gebruikers een wachtwoordbeheerder te gebruiken die niet alleen complexe wachtwoorden maakt, maar deze ook opslaat.

Multifactorauthenticatie is het andere eenvoudige mechanisme dat een aanval met wachtwoordbeveiliging in zijn tracks kan stoppen. Zelfs met de juiste combinatie van gebruikersnaam en wachtwoord kunnen hackers niet inbreken als extra informatie vereist is. Goede systemen voor identiteitsbeheer hebben verschillende multi-factor authenticatiemechanismen. Het enige dat sysadmins hoeven te doen, is ze bekijken en kijken welke het beste bij hen past.

Het spuiten van wachtwoorden lijkt misschien veel werk, maar je moet niet vergeten dat we het hebben over een bedrijfsomgeving waar hackers de mogelijkheid hebben om zich door het hele systeem te verplaatsen. Daarom moet de dreiging niet worden onderschat en moeten de nodige voorzorgsmaatregelen worden getroffen.

January 10, 2020