O Que é o Spraying de Senha e Como Protegê-las Dele?

Password Spraying

Quando estamos falando sobre a segurança das nossas contas, geralmente falamos sobre as senhas porque as pessoas geralmente assumem que, se a sua senha for comprometida, a sua conta será comprometida. No entanto, isso não é completamente verdadeiro. Mesmo que eles tenham a senha, os hackers não podem entrar sem a outra informação que você digita na maioria dos formulários de login - o nome de usuário. As pessoas simplesmente não percebem o quão importante é o nome de usuário. os hackers, no entanto, percebem. Foi assim que eles criaram um ataque chamado de spraying de senha.

Senha o Que?!

Normalmente, quando os vigaristas querem comprometer uma conta, eles usam o nome de usuário (que geralmente é nosso endereço de e-mail) e tentam combiná-lo com muitas senhas diferentes. Eles usam ferramentas automatizadas que dependem de longas listas de senhas comuns ou de um algoritmo que mistura caracteres aleatoriamente. Esse é o típico ataque de força bruta no qual os criminosos já identificaram o usuário, e eles só precisam encontrar a senha.

Em um ataque de spraying de senha, é o contrário. Eles sabem (ou melhor, assumem) que pelo menos um usuário usou uma determinada senha. Eles só precisam descobrir quem é essa pessoa. Para fazer isso, eles precisam de duas listas - uma com senhas e uma com nomes de usuários. A lista de senhas é muito mais curta do que seria em um esforço tradicional de força bruta, e as entradas nela devem ser relevantes (por exemplo, se eles estão montando um ataque aos usuários da Amazon, os hackers se certificam de que "amazon" está em algum lugar perto do topo da lista de senhas). Quanto aos nomes de usuários, a maneira como eles são reunidos depende do alvo.

Os bandidos pegam a primeira senha na lista (por exemplo, "amazon") e a experimentam em combinação com todos os nomes de usuários diferentes. Então, eles pegam a segunda senha e fazem o mesmo, e assim por diante. Dependendo do alvo, o objetivo é comprometer o maior número de usuários possível ou quebrar uma conta, o que daria aos criminosos a oportunidade de se infiltrar no sistema.

Quando os hackers usam o spraying de senhas?

Para ser justo, enquanto você definitivamente não deve usar "amazon" como a senha da sua conta no Amazon, provavelmente deveríamos notar que um ataque de spraying de senha em uma grande plataforma online não é muito provável. É verdade que muitas pessoas usam senhas extremamente simples, mas não faz sentido usar uma dessas senhas e, em seguida, testá-las com milhões e milhões de endereços de e-mail.

É muito mais fácil usar um banco de dados que vazou durante um incidente de violação de dados e experimentar um ataque de preenchimento de credenciais, por exemplo. Mesmo se você não tiver os dados vazados, o número quase ilimitado de nomes de usuário possíveis torna a adivinhação da senha uma abordagem muito mais prática.

Em um ambiente corporativo, no entanto, as coisas são muito diferentes. Normalmente, em uma organização, há um número limitado de tentativas de login malsucedidas para cada conta, o que significa que os hackers não podem testar um endereço de e-mail com dezenas de milhares de senhas diferentes na esperança de adivinhar a combinação correta. O mecanismo de bloqueio provavelmente entrará em ação muito antes que eles consigam encontrar uma combinação.

Ao mesmo tempo, em uma empresa, há um certo número (não muito grande) de funcionários, portanto não há muitos nomes de usuários possíveis. Muitas vezes, obtê-los é tão simples quanto abrir a página de Sobre Nós. E quanto à senha, já que eles sabem quem estão tentando comprometer, os hackers podem adivinhar melhor. Por exemplo, se eles estão atacando a Nike, eles são muito mais propensos a incluir "just-do-it!" na sua lista de senhas em vez de "adidas-rocks!", por exemplo.

De repente, um ataque de spraying de senha começa a fazer muito mais sentido, e proteger você e sua empresa se torna uma necessidade.

Prevenindo ataques bem-sucedidos de spraying de senhas

Em março, os desenvolvedores do Azure AD da Microsoft, um sistema de gerenciamento de identidades usado por muitas empresas, viu um aumento no número de ataques de spraying de senha, e eles reuniram uma lista de dicas que devem ajudar os administradores a fortalecer os sistemas das suas empresas e evitar invasões.

Como você já deve ter adivinhado, há muitas coisas que você pode fazer para evitar um ataque de spraying de senha - limitando o acesso de fora do escritório, bloqueando IPs que fazem muitas tentativas de login, contratando uma equipe de testes de invasão para avaliar o estado da sua infraestrutura de TI da empresa, etc. No entanto, existem algumas etapas mais simples que podem fazer o trabalho: implementar a autenticação de multi-fatores para todos os usuários e empregar senhas mais complexas.

Você não deve esquecer que um ataque de spray de senha ainda depende de adivinhar uma senha que foi criada por um ser humano. Os seres humanos, como temos estabelecido em muitos outros artigos, não são muito bons em criar senhas difíceis de adivinhar. Proibir senhas óbvias e simples e, idealmente, forçar os usuários a usar um gerenciador de senhas que não apenas criará senhas complexas, mas também as armazenará.

A autenticação multi-fator é o outro mecanismo simples que pode interromper um ataque de spraing de senha em andamento. Mesmo com a combinação correta do nome de usuário e senha, os hackers não podem entrar se uma informação adicional for necessária. Bons sistemas de gerenciamento de identidades possuem diferentes mecanismos de autenticação multi-fator. Todos os administradores de sistemas precisam checar e ver qual deles atende melhor às suas necessidade.

O spraying de senhas pode parecer um grande trabalho, mas você não deve esquecer que estamos falando de um ambiente corporativo no qual comprometer uma única conta às vezes dá aos hackers a capacidade de se mover pelo sistema. É por isso que a ameaça não deve ser subestimada e as precauções necessárias devem ser postas em prática.

August 12, 2019

Deixe uma Resposta