甚麼是密碼噴灑?如何防止密碼噴灑攻擊?
甚麼是密碼噴灑攻擊?
密碼噴灑是一種暴力破解攻擊,惡意行為者透過其,嘗試對多個賬戶使用同一密碼進行破解,然後接著嘗試使用另一個密碼。密碼噴灑攻擊通常很有效,這是因為許多使用者使用的是類似「password」或「123456」等簡單的、容易被猜出的密碼。
在許多組織內,使用者在一定次數登入失敗後,就會被鎖定。因為密碼噴灑攻擊涉及嘗試用一個密碼破解多個賬戶,可避免在採用眾多密碼暴力破解單個賬戶時,通常會出現的賬戶鎖定問題。
密碼噴灑的特點,顧名思義,就是其可一次針對數以千計甚或數以百萬計的不同使用者,而非僅針對一個賬戶。這個過程通常是自動進行的,可隨時間推移而進行,避免被檢測到。
密碼噴灑攻擊經常發生在特定組織的應用程式或管理員為新使用者設定預設密碼的情況下。單點登入及雲平台也非常易於受到攻擊。
雖然密碼噴灑與其他類型的網絡攻擊相比有點兒過於簡單,但即便是老練的網絡犯罪集團也會採用此種攻擊方式。例如,2022 年,美國網絡安全與基礎設施安全局 (CISA) 就國家支持的網絡行為者發出警示,列出他們獲取目標網絡存取權使用的各種手段,其中就包括密碼噴灑。
密碼噴灑攻擊是如何運作的?
密碼噴灑攻擊通常涉及以下幾個階段:
步驟 1:網絡罪犯購買用戶名清單或自建清單
為發起密碼噴灑攻擊,網絡罪犯經常會先購買用戶名清單,這些清單是從不同組織偷竊而來的清單。據估計,有超過 150 億個憑證在暗網上銷售。
或者,網絡罪犯可能會按照企業電子郵件地址的格式(比如,firstname.lastname@companyname.com)以及使用從 LinkedIn 或其他公共資訊來源獲得的員工清單創建自己的清單。
網絡罪犯有時會以特定員工群體為目標,如財務人員、管理員或最高管理層,這是因為採取有針對性的方法效果更好。他們常常以使用單點登入 (SSO) 或聯合身份認證協議(例如,有能力使用 Google 憑證登入 Facebook)或未採用多因素身份認證的公司或部門為目標。
步驟 2:網絡罪犯獲得常用密碼清單
密碼噴灑攻擊融合了常用或預設密碼清單。要找出最常用的密碼相對比較簡單,因為每年都會有各種各樣的報告或研究公佈這些密碼,維基百科甚至有一個頁面列出了最常見的 1 萬個密碼。網絡罪犯也可能自己做研究來猜測密碼,例如,透過使用目標組織所在地的運動隊或著名地標的名稱。
步驟 3:網絡罪犯會嘗試不同的用戶名/密碼組合
一旦網絡罪犯有了用戶名和密碼清單,他們的目標就是嘗試它們,直到找到一個有效的組合。通常,這個過程是透過密碼噴灑工具自動完成的。網絡罪犯對多個用戶名使用同一個密碼,然後對清單上的下一個密碼重複這一過程,避免與限制登入次數的鎖定策略或 IP 位址攔截器發生衝突。
密碼噴灑攻擊的影響
一旦攻擊者透過密碼噴灑攻擊存取賬戶,他們會寄希望該賬戶包含有竊取價值的資訊或具有足夠的許可權來進一步削弱組織的安全措施,以存取更為敏感的資料。
如果密碼噴灑攻擊奏效,就可能對組織造成重大損害。例如,攻擊者可透過使用表面上合法的憑證存取金融賬戶,進行欺詐性購買。如果未被檢測到,這種情況就會給受影響企業造成財務負擔。受到網絡攻擊後,可能需要數月或更長時間才能恢復。
密碼噴灑不僅會給組織帶來財務影響,也會嚴重拖慢或干擾企業日常運營。在全公司散佈的惡意電子郵件可能會降低生產效率。一旦企業賬戶被攻擊者接管,其就可竊取私人資訊、取消購買或變更服務交付日期等。
然後,還會對聲譽造成影響,如果企業遭到這類入侵,客戶就會對他們的資料在那個公司的安全性產生懷疑。接著,他們就會把業務轉到別處,造成更大的損失。
密碼噴灑示例
「在我的銀行賬戶成為密碼噴灑攻擊的目標後,我被要求變更我的密碼。惡意行為者能夠針對銀行客戶嘗試數以百萬計的用戶名及密碼組合,而且,不幸的是,我就是其中一員。」
密碼噴灑與暴力破解的對比
密碼噴灑攻擊試圖透過幾個常用的密碼存取大量的賬戶。相比之下,暴力破解攻擊是試圖透過猜測密碼(往往是以使用大量的潛在密碼清單的方式)獲取單個賬戶的存取權。
換句話說,暴力破解攻擊涉及到對每個用戶名嘗試多個密碼。密碼噴灑則涉及對多個用戶名嘗試一個密碼。發起身份認證攻擊有很多不同的方法。
密碼噴灑攻擊的跡象
密碼噴灑攻擊通常會造成多個賬戶的身份認證頻繁失敗。組織可透過檢查系統和應用程式有效賬戶登入失敗的身份認證日誌來檢測密碼噴灑活動。
整體來說,密碼噴灑攻擊的主要跡象是:
- 短時間內,存在大量登入活動。
- 活躍使用者登入失敗次數驟增。
- 有不存在或不活躍賬戶登入的情況。
如何防禦密碼噴灑攻擊
各組織可採取以下預防措施,防禦密碼噴灑攻擊:
实施強密碼策略
透過强制使用強密碼,IT
團隊能夠將遭遇密碼噴灑攻擊的風險降到最低。您可在此閱讀如何創建強密碼。
設定登入檢測
IT
團隊也應對短時間內出現單個主機對多個賬戶進行的登入嘗試進行檢測,因為這明顯表明存在密碼噴灑嘗試。
確保有效的鎖定政策
在域級別為鎖定策略設定合適的閾值可有效防止密碼噴灑。閾值需要在以下兩者之間取得平衡:低到足以防止攻擊者在鎖定期間進行多次身份認證嘗試,但又不能低到因為簡單的錯誤而將合法使用者的賬戶鎖定。而且,還應該有一個明確的解鎖和重設驗證賬戶使用者的過程。
採用零信任方法
零信任方法的基石是僅在任何給定時間,提供完成手頭任務所需的存取權。在組織內實行零信任對實現網路安全至關重要。
使用非標準用戶名的方法
除電子郵件以外,避免選擇如 john.doe 或 jdoe
等明顯的用戶名(這是最常用的用戶名方法)。採用單獨非標準登入進行單點賬戶登入是一種規避攻擊者的方法。
使用生物識別
為防止攻擊者利用字母數字組合密碼的潛在弱點,一些組織要求必須採取生物識別登入。如果本人不在場,攻擊者就無法登入。
留意登入模式
確保實施的任何安全措施都可以快速識別可疑的登入模式,例如大量賬戶試圖同時登入。
使用密碼管理器可能會有所幫助
密碼用於保護敏感資訊免受惡意行為者竊取。但是,現在一般用戶有太多密碼,無法一一記住(尤其是每套憑證都要是唯一的情況下)。
為便於記住這些密碼,一些使用者犯了使用過於明顯或容易被猜到的密碼以及經常在多個賬戶使用同一密碼的錯誤。而這些密碼正是那種容易遭受密碼噴灑攻擊的密碼。
近年來,攻擊者的能力和工具也得到大幅發展。如今,電腦猜測密碼的速度也快了很多。攻擊者採用自動化的方式攻擊密碼數據庫或線上賬戶。他們已經掌握了特定的技術和策略,可確保其獲得更多成功。
對於個人使用者,使用諸如 Kaspersky Password Manager 等密碼管理器可能會有所幫助。密碼管理器可將複雜性和長度相結合,所提供的密碼難以破解。這些密碼管理器也可以消除需要記住不同登入資料的負擔,有助於檢查是否存在不同服務密碼重複的情況。對個人來說,密碼管理器可以用來生成、管理及儲存其唯一的憑證,是一種非常實用的解決方案。
相關產品:
甚麼是密碼噴灑?如何防止密碼噴灑攻擊?
Kaspersky
