什麼是密碼噴塗以及如何保護您的密碼?

Password Spraying

當我們談論帳戶的安全性時,我們通常談論密碼,因為人們經常認為如果您的密碼被盜,您的帳戶就被盜了。但是,這並非完全正確。即使他們有密碼,黑客也無法沒有您在大多數登錄表單中輸入的其他信息-用戶名。人們根本沒有意識到用戶名的重要性。但是,黑客確實如此。這就是他們想出了一種稱為密碼噴霧的攻擊方式。

密碼是什麼?!

通常,當騙子想要破壞帳戶時,他們會使用用戶名(通常是我們的電子郵件地址),並嘗試將其與許多不同的密碼結合使用。他們使用自動工具,這些工具要么依賴一長串通用密碼,要么依賴於隨機混合字符的算法。這是典型的暴力攻擊,其中犯罪分子已經識別出用戶,他們只需要找到密碼即可。

在密碼噴射攻擊中,反之亦然。他們知道(或更確切地說,假設)至少有一個用戶使用了給定的密碼。他們只需要找出那個人是誰。為此,他們需要兩個列表–一個帶有密碼,另一個帶有用戶名。密碼列表要比傳統的暴力破解要短得多,並且密碼中的條目必須是相關的(例如,如果他們對亞馬遜用戶發起了攻擊,黑客將確保“ amazon ”位於密碼列表頂部附近)。至於用戶名,它們的收集方式取決於目標。

騙子會使用列表中的第一個密碼(例如“ amazon”),然後將其與所有不同的用戶名結合使用。然後,他們獲取第二個密碼並執行相同操作,依此類推。根據目標,目標是要么讓盡可能多的用戶受到攻擊,要么闖入一個帳戶,這將使騙子有機會進一步滲透到系統中。

黑客什麼時候使用密碼噴霧?

公平地講,雖然您絕對不能使用“ amazon”作為您的Amazon帳戶的密碼,但我們應該注意,在大型在線平台上進行密碼噴霧攻擊的可能性很小。的確,許多人都使用非常簡單的密碼,但是獲取其中一個密碼並用數以百萬計的電子郵件地址進行嘗試毫無意義。

例如,更容易處理在數據洩露事件中洩漏的數據庫並嘗試進行憑據填充攻擊。即使您沒有洩漏的數據轉儲,幾乎無限數量的可能的用戶名也使猜測密碼更加實用。

但是,在企業環境中,情況大不相同。通常,在組織中,每個帳戶的登錄嘗試失敗的次數都是有限的,這意味著黑客無法嘗試使用具有成千上萬個不同密碼的電子郵件地址,以期猜測正確的組合。鎖定機制很可能會在他們設法找到比賽之前啟動。

同時,在公司中,有一定數量(不是很大)的員工,因此,可能的用戶名並不多。通常,獲取它們就像打開“關於我們”頁面一樣簡單。至於密碼,由於他們知道自己要破解的人,因此黑客可以做出更有根據的猜測。例如,如果他們要攻擊耐克,那麼他們更有可能加入“隨便做!”例如在他們的密碼列表中,而不是“ adidas-rocks!”。

突然,密碼噴霧攻擊變得更加有意義了,保護您自己和您的公司免受攻擊成為必要。

防止成功的密碼噴射攻擊

3月,Microsoft,Azure AD(許多企業使用的身份管理系統)的開發者,看到了密碼噴射攻擊的數量激增,他們匯總了一系列提示,旨在幫助sysadmin加強企業系統和防止入侵。

您可能已經猜到了,可以採取多種措施來防止密碼噴霧攻擊-限制來自辦公室外部的訪問,鎖定IP地址以使登錄嘗試失敗的次數過多,僱用滲透測試團隊來評估您的狀態但是,有幾個簡單的步驟可以完成這項工作–對所有用戶實施多因素身份驗證,並使用更複雜的密碼。

您不應忘記,密碼噴射攻擊仍然依賴於猜測人類創建的密碼。正如我們在其他許多文章中已經確立的那樣,人類在創建難以猜測的密碼方面並不十分擅長。禁止使用明顯且簡單的密碼,並且在理想情況下,強制用戶使用密碼管理器 ,該管理器不僅會創建複雜的密碼,還將存儲它們。

多因素身份驗證是可以阻止其路徑上的密碼噴霧攻擊的另一種簡單機制。即使使用正確的用戶名和密碼組合,如果需要其他信息,黑客也不會闖入。好的身份管理系統具有不同的多因素身份驗證機制。系統管理員所需要做的就是將他們簽出,看看哪一個最適合他們的需求。

密碼噴霧似乎是一項繁重的工作,但您一定不要忘記,我們所說的企業環境有時會破壞單個帳戶,從而使黑客能夠在整個系統中移動。這就是為什麼不應低估威脅,並應採取必要的預防措施。

April 30, 2019