Dwie najczęściej używane metody uzyskiwania dostępu do nieautoryzowanych kont to (a) atak Brute Force^{(Brute Force Attack)} i (b) atak polegający na rozpylaniu hasła^{(Password Spray Attack)} . Wyjaśniliśmy wcześniej ataki Brute Force . ^{(Brute Force Attacks)}Ten artykuł skupia się na ataku sprayem hasła^{(Password Spray Attack)} – czym jest i jak chronić się przed takimi atakami.

Definicja ataku sprayem hasła

Password Spray Attack jest zupełnym przeciwieństwem Brute Force Attack . W atakach Brute Force hakerzy wybierają zagrożony identyfikator i wprowadzają hasła jedno po drugim, mając nadzieję, że jakieś hasło może ich wpuścić. Zasadniczo Brute ^(Basically)Force^{(Brute Force)} to wiele haseł stosowanych tylko do jednego identyfikatora.

W przypadku ataków Password Spray jedno hasło jest stosowane do wielu identyfikatorów^(IDs) użytkowników , dzięki czemu co najmniej jeden identyfikator użytkownika jest zagrożony. W przypadku ataków Password Spray hakerzy zbierają wiele identyfikatorów^(IDs) użytkowników za pomocą socjotechniki^{(social engineering)} lub innych metod phishingu^{(phishing methods)} . Często zdarza się, że przynajmniej jeden z tych użytkowników używa prostego hasła, takiego jak 12345678 lub nawet [email protected] . Ta luka (lub brak informacji o tym, jak tworzyć silne hasła^{(create strong passwords)} ) jest wykorzystywana w atakach z użyciem hasła^{(Password Spray Attacks)} .

W przypadku ataku polegającego^{(Password Spray Attack)} na rozpylaniu hasła haker zastosowałby starannie skonstruowane hasło do wszystkich zebranych przez siebie identyfikatorów użytkowników. ^(IDs)Przy odrobinie szczęścia haker może uzyskać dostęp do jednego konta, z którego może dalej przeniknąć do sieci komputerowej.

Password Spray Attack można zatem zdefiniować jako zastosowanie tego samego hasła do wielu kont użytkowników w organizacji w celu zabezpieczenia nieautoryzowanego dostępu do jednego z tych kont.^{(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)}

Atak Brute Force^{(Brute Force Attack)} kontra atak sprayem na hasło^{(Password Spray Attack)}

Problem z atakami Brute Force^{(Brute Force Attacks)} polega na tym, że systemy mogą zostać zablokowane po określonej liczbie prób z różnymi hasłami. Na przykład, jeśli skonfigurujesz serwer tak, aby akceptował tylko trzy próby, w przeciwnym razie zablokuje system, w którym odbywa się logowanie, system zablokuje się tylko z powodu trzech nieprawidłowych wpisów hasła. Niektóre organizacje dopuszczają trzy, podczas gdy inne dopuszczają do dziesięciu nieprawidłowych prób. Wiele witryn korzysta obecnie z tej metody blokowania. Ten środek ostrożności jest problemem w przypadku ataków Brute Force^{(Brute Force Attacks)} , ponieważ zablokowanie systemu zaalarmuje administratorów o ataku.

Aby to obejść, powstał pomysł zbierania identyfikatorów^(IDs) użytkowników i nadawania im prawdopodobnych haseł. Również w przypadku Password Spray Attack hakerzy stosują pewne środki ostrożności. Na przykład, jeśli próbowali zastosować hasło1 do wszystkich kont użytkowników, nie zaczną stosować hasła2 do tych kont wkrótce po zakończeniu pierwszej rundy. Pozostawią okres co najmniej 30 minut między próbami włamania.

Ochrona przed atakami z użyciem hasła^{(Password Spray Attacks)}

Zarówno ataki typu Brute Force Attack , jak i Password Spray mogą zostać zatrzymane w połowie, pod warunkiem, że istnieją powiązane zasady bezpieczeństwa. 30-minutowa przerwa, jeśli zostanie pominięta, system ponownie się zablokuje, jeśli zostanie na to przewidziana rezerwa. Można również zastosować pewne inne rzeczy, takie jak dodanie różnicy czasu między logowaniami na dwóch kontach użytkowników. Jeśli jest to ułamek sekundy, zwiększ czas logowania dla dwóch kont użytkowników. Takie zasady pomagają w ostrzeganiu administratorów, którzy mogą następnie zamknąć serwery lub zablokować je, aby w bazach danych nie doszło do operacji odczytu i zapisu.

Pierwszą rzeczą do ochrony organizacji przed atakami typu Password Spray Attacks jest edukowanie pracowników na temat rodzajów ataków socjotechnicznych, ataków typu phishing oraz znaczenia haseł. W ten sposób pracownicy nie będą używać żadnych przewidywalnych haseł do swoich kont. Inną metodą jest dostarczanie przez administratorów silnych haseł, wyjaśniając potrzebę zachowania ostrożności, aby nie zapisywali haseł i nie trzymali ich na swoich komputerach.

Istnieje kilka metod, które pomagają w identyfikacji luk w systemach organizacyjnych. Na przykład, jeśli używasz Office 365 Enterprise , możesz uruchomić Attack Simulator , aby dowiedzieć się, czy którykolwiek z Twoich pracowników używa słabego hasła.

Przeczytaj dalej^{(Read next)} : Co to jest Fronting domen^{(Domain Fronting)} ?

Password Spray Attack Definition and Defending yourself

The two mоst commonly used methods to gain access tо unauthorized аccounts are (a) Brute Force Attack, and (b) Password Spray Attack. We have explained Brute Force Attacks earlier. This article focuses on Password Spray Attack – what it is and how to protect yourself from such attacks.

Password Spray Attack Definition

Password Spray Attack is quite the opposite of Brute Force Attack. In Brute Force attacks, hackers choose a vulnerable ID and enter passwords one after another hoping some password might let them in. Basically, Brute Force is many passwords applied to just one ID.

Coming to Password Spray attacks, there is one password applied to multiple user IDs so that at least one of the user ID is compromised. For Password Spray attacks, hackers collect multiple user IDs using social engineering or other phishing methods. It often happens that at least one of those users is using a simple password like 12345678 or even [email protected]. This vulnerability (or lack of info on how to create strong passwords) is exploited in Password Spray Attacks.

In a Password Spray Attack, the hacker would apply a carefully constructed password for all the user IDs he or she has collected. If lucky, the hacker might gain access to one account from where s/he can further penetrate into the computer network.

Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.

Brute Force Attack vs Password Spray Attack

The problem with Brute Force Attacks is that systems can be locked down after a certain number of attempts with different passwords. For example, if you set up the server to accept only three attempts otherwise lock down the system where login is taking place, the system will lock down for just three invalid password entries. Some organizations allow three while others allow up to ten invalid attempts. Many websites use this locking method these days. This precaution is a problem with Brute Force Attacks as the system lockdown will alert the administrators about the attack.

To circumvent that, the idea of collecting user IDs and applying probable passwords to them was created. With Password Spray Attack too, certain precautions are practiced by the hackers. For example, if they tried to apply password1 to all the user accounts, they will not start applying password2 to those accounts soon after finishing the first round. They’ll leave a period of at least 30 minutes among hacking attempts.

Protecting against Password Spray Attacks

Both Brute Force Attack and Password Spray attacks can be stopped midway provided that there are related security policies in place. The 30 min gap if left out, the system will again lock down if a provision is made for that. Certain other things also can be applied, like adding time difference between logins on two user accounts. If it is a fraction of a second, increase timing for two user accounts to log in. Such policies help in alerting the administers who can then shut down the servers or lock them down so that no read-write operation happens on databases.

The first thing to protect your organization from Password Spray Attacks is to educate your employees about the types of social engineering attacks, phishing attacks, and the importance of passwords. That way employees won’t use any predictable passwords for their accounts. Another method is admins providing the users with strong passwords, explaining the need to be cautious so that they don’t note down the passwords and stick it to their computers.

There are some methods that help in identifying the vulnerabilities in your organizational systems. For example, if you are using Office 365 Enterprise, you can run Attack Simulator to know if any of your employees are using a weak password.

Read next: What is Domain Fronting?

Related posts

• Ta funkcja wymaga nośnika wymiennego — błąd resetowania hasła

• Ustaw datę wygaśnięcia hasła dla konta Microsoft i konta lokalnego

• Jak sprawić, by przeglądarka wyświetlała zapisane hasło w tekście zamiast kropek?

• LessPass to darmowy generator i menedżer haseł

• Recenzja Bitwarden: darmowy menedżer haseł Open Source dla komputerów z systemem Windows

• Darmowy, bezpieczny generator haseł online do tworzenia losowych haseł

• Jak zmienić hasło do konta Google

• SafeInCloud Password Manager synchronizuje bazę danych z kontami w chmurze

• Zresetuj hasło systemu Windows za pomocą funkcji Odzyskaj moje hasło Strona główna za darmo

• Najlepsze darmowe menedżery haseł online — czy są bezpieczne?

• 10 najpopularniejszych haseł, których należy unikać

• RandPass Lite to darmowy masowy generator losowych haseł dla systemu Windows 10

• Usuń WSZYSTKIE zapisane hasła na raz w Chrome, Firefox, Edge

• Nie można zalogować się do systemu Windows 11/10 | Problemy z logowaniem i hasłem w systemie Windows

• Menedżer haseł Google umożliwia bezpieczny dostęp do haseł

• Zmuś użytkowników do zmiany hasła do konta przy następnym logowaniu w systemie Windows 11/10

• Zapomniałem hasła administratora Windows Offline NT Hasło

• Menedżer haseł Trend Micro na komputer z systemem Windows 10

• Bezpłatne pobieranie Ophcrack LiveCD: Odzyskiwanie haseł do systemu Windows

• Menedżer haseł True Key dla komputerów z systemem Windows, Android i iPhone