什么是密码喷涂以及如何保护您的密码?

Password Spraying

当我们谈论帐户的安全性时,我们通常谈论密码,因为人们经常认为如果您的密码被盗,您的帐户就被盗了。但是,这并非完全正确。即使他们有密码,黑客也无法没有您在大多数登录表单中输入的其他信息-用户名。人们根本没有意识到用户名的重要性。但是,黑客确实如此。这就是他们想出了一种称为密码喷雾的攻击方式。

密码是什么?!

通常,当骗子想要破坏帐户时,他们会使用用户名(通常是我们的电子邮件地址),并尝试将其与许多不同的密码结合使用。他们使用自动工具,这些工具要么依赖一长串通用密码,要么依赖于随机混合字符的算法。这是典型的暴力攻击,其中犯罪分子已经识别出用户,他们只需要找到密码即可。

在密码喷射攻击中,反之亦然。他们知道(或更确切地说,假设)至少有一个用户使用了给定的密码。他们只需要找出那个人是谁。为此,他们需要两个列表–一个带有密码,另一个带有用户名。密码列表要比传统的暴力破解要短得多,并且密码中的条目必须是相关的(例如,如果他们对亚马逊用户发起了攻击,黑客将确保“ amazon ”位于密码列表顶部附近)。至于用户名,它们的收集方式取决于目标。

骗子会使用列表中的第一个密码(例如“ amazon”),然后将其与所有不同的用户名结合使用。然后,他们获取第二个密码并执行相同操作,依此类推。根据目标,目标是要么让尽可能多的用户受到攻击,要么侵入一个帐户,这将使骗子有机会进一步渗透到系统中。

黑客什么时候使用密码喷雾?

公平地讲,尽管您绝对不能使用“ amazon”作为您的Amazon帐户的密码,但我们应该注意,在大型在线平台上进行密码喷雾攻击的可能性很小。的确,许多人都使用非常简单的密码,但是获取其中一个密码并用数以百万计的电子邮件地址进行尝试毫无意义。

例如,更容易处理在数据泄露事件中泄漏的数据库并尝试进行凭据填充攻击。即使您没有泄漏的数据转储,几乎无限数量的可能的用户名也使猜测密码更加实用。

但是,在企业环境中,情况大不相同。通常,在组织中,每个帐户的登录尝试失败的次数都是有限的,这意味着黑客无法尝试使用具有成千上万个不同密码的电子邮件地址,以期猜测正确的组合。锁定机制很可能会在他们设法找到比赛之前启动。

同时,在公司中,有一定数量(不是很大)的员工,因此,可能的用户名并不多。通常,获取它们就像打开“关于我们”页面一样简单。至于密码,由于他们知道自己要破解的人,因此黑客可以做出更有根据的猜测。例如,如果他们要攻击耐克,那么他们更有可能加入“随便做!”例如在他们的密码列表中,而不是“ adidas-rocks!”。

突然,密码喷雾攻击变得更加有意义了,保护您自己和您的公司免受攻击成为必要。

防止成功的密码喷射攻击

3月,Microsoft,Azure AD(许多企业使用的身份管理系统)的开发者,看到了密码喷射攻击的数量激增,他们汇总了一系列提示,旨在帮助sysadmin加强企业系统和防止入侵。

您可能已经猜到了,可以采取多种措施来防止密码喷雾攻击-限制来自办公室外部的访问,锁定IP地址以使登录尝试失败的次数过多,雇用渗透测试团队来评估您的状态但是,有几个简单的步骤可以完成这项工作–对所有用户实施多因素身份验证,并使用更复杂的密码。

您不应忘记,密码喷射攻击仍然依赖于猜测人类创建的密码。正如我们在其他许多文章中已经确立的那样,人类在创建难以猜测的密码方面并不十分擅长。禁止使用明显且简单的密码,并且在理想情况下,强制用户使用密码管理器 ,该管理器不仅会创建复杂的密码,还将存储它们。

多因素身份验证是可以阻止其路径上的密码喷雾攻击的另一种简单机制。即使使用正确的用户名和密码组合,如果需要其他信息,黑客也不会闯入。好的身份管理系统具有不同的多因素身份验证机制。系统管理员所需要做的就是将他们签出,看看哪一个最适合他们的需求。

密码喷雾似乎是一项繁重的工作,但您一定不要忘记,我们所说的企业环境有时会破坏单个帐户,从而使黑客能够在整个系统中移动。这就是为什么不应低估威胁,并应采取必要的预防措施。

April 30, 2019