Co to jest rozpylanie haseł i jak chronić przed nim hasła?

Password Spraying

Kiedy mówimy o bezpieczeństwie naszych kont, zwykle mówimy o hasłach, ponieważ ludzie często zakładają, że jeśli Twoje hasło zostanie naruszone, Twoje konto zostanie naruszone. Ale to nie do końca prawda. Nawet jeśli mają hasło, hakerzy nie mogą się włamać bez innej informacji, którą wpisujesz w większości formularzy logowania - nazwy użytkownika. Ludzie po prostu nie zdają sobie sprawy z tego, jak ważna jest nazwa użytkownika. Jednak hakerzy tak robią. W ten sposób wymyślili atak zwany rozpylaniem haseł.

Hasło co?!

Zwykle, gdy oszuści chcą przejąć konto, biorą nazwę użytkownika (która jest często naszym adresem e-mail) i wypróbowują ją w połączeniu z wieloma różnymi hasłami. Używają zautomatyzowanych narzędzi, które opierają się na długich listach wspólnych haseł lub na algorytmie, który losowo łączy znaki. Jest to typowy atak typu „brute-force”, w ramach którego przestępcy zidentyfikowali już użytkownika i muszą jedynie znaleźć hasło.

W ataku polegającym na rozpylaniu hasła jest odwrotnie. Wiedzą (a raczej zakładają), że co najmniej jeden użytkownik użył danego hasła. Muszą tylko dowiedzieć się, kim jest ta osoba. Aby to zrobić, potrzebują dwóch list - jednej z hasłami i jednej z nazwami użytkowników. Lista haseł jest znacznie krótsza niż w przypadku tradycyjnej brutalnej siły, a wpisy w niej muszą być odpowiednie (na przykład, jeśli przeprowadzają atak na użytkowników Amazon, hakerzy upewnią się, że „amazon” „znajduje się gdzieś u góry listy haseł). Jeśli chodzi o nazwy użytkowników, sposób ich gromadzenia zależy od celu.

Oszuści biorą pierwsze hasło z listy (np. „Amazon”) i wypróbowują je w połączeniu ze wszystkimi różnymi nazwami użytkowników. Następnie biorą drugie hasło, robią to samo i tak dalej. W zależności od celu, celem jest albo skompromitowanie jak największej liczby użytkowników lub włamanie się na jedno konto, co dałoby oszustom szansę na dalszą infiltrację systemu.

Kiedy hakerzy używają natryskiwania hasła?

Szczerze mówiąc, chociaż zdecydowanie nie wolno używać „amazon” jako hasła do konta Amazon, prawdopodobnie powinniśmy zauważyć, że atak polegający na rozpylaniu haseł na dużej platformie internetowej jest mało prawdopodobny. To prawda, że wiele osób używa okropnie prostych haseł, ale nie ma sensu brać jednego z tych haseł, a następnie wypróbowywać je z milionami adresów e-mail.

O wiele łatwiej jest wziąć bazę danych, która wyciekła podczas incydentu związanego z naruszeniem danych i wypróbować na przykład atak polegający na zatłoczeniu danych uwierzytelniających. Nawet jeśli nie masz wycieku danych, prawie nieograniczona liczba możliwych nazw użytkowników sprawia, że odgadnięcie hasła jest o wiele bardziej praktyczne.

Jednak w środowisku korporacyjnym rzeczy są bardzo różne. Zwykle w organizacji jest ograniczona liczba nieudanych prób logowania dla każdego konta, co oznacza, że hakerzy nie mogą wypróbować jednego adresu e-mail z dziesiątkami tysięcy różnych haseł w nadziei na odgadnięcie właściwej kombinacji. Mechanizm blokujący prawdopodobnie uruchomi się na długo, zanim zdołają znaleźć dopasowanie.

Jednocześnie w firmie istnieje pewna (niezbyt duża) liczba pracowników, stąd nie ma zbyt wielu możliwych nazw użytkowników. Często ich uzyskanie jest tak proste, jak otwarcie strony O nas. A jeśli chodzi o hasło, ponieważ wiedzą, z kim próbują iść na kompromis, hakerzy mogą zgadywać lepiej. Na przykład, jeśli atakują Nike, o wiele bardziej prawdopodobne jest użycie słowa „po prostu zrób to!” na liście haseł zamiast na przykład „adidas-rocks!”.

Nagle atak polegający na rozpylaniu haseł zaczyna mieć sens, a ochrona siebie i Twojej firmy przed nim staje się koniecznością.

Zapobieganie udanemu atakowi z użyciem hasła

W marcu, Microsoft, twórcy Azure AD, system zarządzania tożsamością używane przez wiele przedsiębiorstw widział uptick liczby haseł rozpylanie atakami, i ułożyła listę wskazówek, które mają pomóc administratorów wzmocnić systemy ich przedsiębiorstw oraz zapobiec wtargnięciu.

Jak już zapewne się domyślacie, istnieje wiele rzeczy, które można zrobić, aby zapobiec atakowi hasłem - ograniczenie dostępu spoza biura, blokowanie adresów IP, które powodują zbyt wiele nieudanych prób logowania, zatrudnienie zespołu testującego penetrację w celu oceny stanu twojego firmowa infrastruktura IT itp. Istnieje jednak kilka prostszych kroków, które mogą wykonać to zadanie - wdrożenie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników i stosowanie bardziej złożonych haseł.

Nie należy zapominać, że atak polegający na rozpylaniu hasła nadal polega na odgadnięciu hasła utworzonego przez człowieka. Ludzie, jak ustaliliśmy w wielu innych artykułach, nie są zbyt dobrzy w tworzeniu trudnych do odgadnięcia haseł. Zakaz oczywistych i prostych haseł, a najlepiej zmuś użytkowników do korzystania z menedżera haseł, który nie tylko tworzy złożone hasła, ale także je przechowuje.

Uwierzytelnianie wieloskładnikowe to kolejny prosty mechanizm, który może zatrzymać atak polegający na rozpylaniu hasła. Nawet przy prawidłowej kombinacji nazwy użytkownika i hasła hakerzy nie mogą się włamać, jeśli wymagana jest dodatkowa informacja. Dobre systemy zarządzania tożsamością mają różne mechanizmy uwierzytelniania wieloskładnikowego. Wszystko, co muszą zrobić sysadmini, to sprawdzić je i sprawdzić, który z nich najlepiej odpowiada ich potrzebom.

Rozpylanie haseł może wydawać się dużym nakładem pracy, ale nie można zapominać, że mówimy o środowisku korporacyjnym, w którym naruszenie jednego konta czasami umożliwia hakerom poruszanie się po całym systemie. Dlatego nie należy lekceważyć tego zagrożenia i należy podjąć niezbędne środki ostrożności.

January 10, 2020