Vad är lösenordssprutning och hur kan du skydda dina lösenord mot det?

Password Spraying

När vi pratar om säkerheten för våra konton, pratar vi vanligtvis om lösenord eftersom människor ofta antar att om ditt lösenord komprometteras är ditt konto komprometterat. Det är dock inte helt sant. Även om de har lösenordet kan hackarna inte bryta sig utan den andra informationen du anger i de flesta inloggningsformulär - användarnamnet. Människor inser helt enkelt inte hur viktigt användarnamnet är. Hackare gör det dock. Det var så de kom med en attack som kallas lösenordssprejning.

Lösenord vad?!

Vanligtvis när skurkar vill kompromissa med ett konto tar de användarnamnet (som ofta är vår e-postadress) och provar det i kombination med många olika lösenord. De använder automatiserade verktyg som förlitar sig antingen på långa listor med vanliga lösenord eller på en algoritm som blandar tecken slumpmässigt. Detta är den typiska attacken för brute-force där brottslingarna redan har identifierat användaren och de behöver bara hitta lösenordet.

I ett lösenordssprutningsattack är det tvärtom. De vet (eller snarare antar) att minst en användare har använt ett givet lösenord. De behöver bara ta reda på vem den personen är. För att göra det behöver de två listor - en med lösenord och en med användarnamn. Listan med lösenord är mycket kortare än den skulle vara i en traditionell brute-force-ansträngning, och posterna i den måste vara relevanta (till exempel, om de genomför en attack på Amazon-användare, skulle hackarna se till att "amazon "är någonstans nära toppen av lösenordslistan). Vad gäller användarnamn beror på hur de samlas in.

Skurkarna tar det första lösenordet på listan (t.ex. "amazon") och prova det i kombination med alla olika användarnamn. Sedan tar de det andra lösenordet och gör samma sak, och så vidare. Beroende på målet är målet att antingen kompromissa med så många användare som möjligt eller att dela in ett konto som skulle ge skurkarna möjlighet att infiltrera systemet ytterligare.

När använder hackare lösenordssprutning?

Även om du definitivt inte får använda "amazon" som lösenord för ditt Amazon-konto, bör vi förmodligen notera att ett lösenordssprutattack på en stor online-plattform inte är mycket troligt. Det är sant att många använder fruktansvärda enkla lösenord, men det är liten mening att ta ett av dessa lösenord och sedan pröva det med miljoner på miljoner e-postadresser.

Det är mycket lättare att ta en databas som har läckt ut under en händelse av dataöverträdelse och prova en tilläggsstoppningsattack, till exempel. Även om du inte har en läckt datadump gör det nästan obegränsade antalet möjliga användarnamn att gissa lösenordet till en mycket mer praktisk metod.

I en företagsmiljö är saker dock mycket annorlunda. I en organisation finns det vanligtvis ett begränsat antal misslyckade inloggningsförsök för varje konto, vilket innebär att hackare inte kan testa en e-postadress med tiotusentals olika lösenord i hopp om att gissa rätt kombination. Spärrmekanismen kommer troligen att sparka in långt innan de lyckas hitta en match.

Samtidigt finns det i ett företag ett visst (inte särskilt stort) antal anställda, följaktligen inte så många möjliga användarnamn. Ofta är att få dem så lika enkelt som att öppna sidan Om oss. Och vad gäller lösenordet, eftersom de vet vem de försöker kompromissa med, kan hackarna göra en mer utbildad gissning. Till exempel, om de attackerar Nike, är de mycket mer benägna att inkludera "just-do-it!" i deras lösenordslista snarare än "adidas-rock!", till exempel.

Plötsligt börjar ett lösenordssprutningsattack bli mycket mer meningsfullt och att skydda dig själv och ditt företag från det blir en nödvändighet.

Förhindrar en framgångsrik sprutattack

I mars såg Microsoft, utvecklarna av Azure AD, ett identitetshanteringssystem som används av många företag, ett antal gånger i antalet lösenordssprutningsattacker, och de satte ihop en lista med tips som ska hjälpa sysadmins att stärka sina företags system och förhindra intrång.

Som du kanske har gissat redan finns det många saker du kan göra för att förhindra ett lösenordssprutattack - begränsa åtkomst utanför kontoret, låsa ut IP: er som gör för många misslyckade inloggningsförsök, anställa ett penetrationstestteam för att utvärdera tillståndet för din företagets IT-infrastruktur osv. Det finns ett par enklare steg som kan göra jobbet, dock - att implementera flerfaktorsautentisering för alla användare och använda mer komplexa lösenord.

Du bör inte glömma att ett lösenordssprutningsattack fortfarande är beroende av att gissa ett lösenord som skapades av en människa. Människor, som vi har etablerat i många andra artiklar, är inte särskilt bra på att skapa lösenord som är svåra att gissa. Förbud självklara och enkla lösenord och tvinga helst användare att använda en lösenordshanterare som inte bara skapar komplexa lösenord utan också kommer att lagra dem.

Multifaktorautentisering är den andra enkla mekanismen som kan stoppa ett lösenordssprutattack i dess spår. Även med rätt användarnamn och lösenordskombination kan hackare inte bryta sig in om ytterligare information behövs. Bra identitetshanteringssystem har olika flerfaktorsautentiseringsmekanismer. Allt sysadmins behöver göra är att kolla in dem och se vilken som passar deras behov bäst.

Lösenordssprejning kan tyckas vara mycket jobb, men du får inte glömma att vi talar om en företagsmiljö där kompromiss med ett enda konto ibland ger hackare möjlighet att flytta genom hela systemet. Därför bör hotet inte underskattas och nödvändiga försiktighetsåtgärder bör vidtas.

January 10, 2020