密碼噴灑攻擊是什麼?如何防範密碼噴灑攻擊?
什麼是密碼噴灑攻擊?
密碼噴灑攻擊是一種暴力破解攻擊,惡意行為者會嘗試對多個帳戶使用同一個密碼,接著再嘗試另一個密碼。密碼噴灑攻擊的效果通常很好,因為許多使用者使用的都是簡單、易於猜測的密碼,例如,“password”或“123456”等。
在許多組織中,在嘗試登入失敗達到特定次數後,使用者便會遭到鎖定。因為密碼噴灑攻擊涉及嘗試對多個帳戶使用單一密碼,如此可避免帳戶鎖定的情況,帳戶鎖定通常會在使用大量密碼對單一帳戶執行暴力破解時發生。
正如「噴灑」一詞所指,密碼噴灑攻擊的一個特點是,其一次鎖定的目標可能是數千個、甚至是數百萬個不同的使用者,而不只是一個帳戶。過程通常是自動化的,而且可能會長時間進行,以避開偵測。
密碼噴灑攻擊的發生時機通常是在應用程式或特定組織中的管理員為新使用者設定預設密碼時。單一登入和以雲端為基礎的平台也可能特別容易遭受這類攻擊。
雖然相較於其他的網路攻擊類型,密碼噴灑攻擊看似簡單,但甚至是經驗豐富的網路犯罪團體都會使用這類攻擊。例如,在 2022 年,美國網路安全暨基礎設施安全局 (CISA) 發出一份與國家層級資助的網路行為者有關的警示,列出其用來存取目標網路的各種手法,其中就包含密碼噴灑攻擊。
密碼噴灑攻擊的運作方式為何?
密碼噴灑攻擊通常包含以下階段:
步驟 1:網路犯罪者會購買使用者名稱清單或自行建立清單
若要發動密碼噴灑攻擊,網路犯罪者通常會從購買使用者名稱清單開始,而那些清單都是從各種組織中竊取而得。據估計,在暗網上出售的憑證就超過 150 億組。
或者,網路犯罪者可能會透過按照公司電子郵件地址的格式(例如 firstname.lastname@companyname.com),以及使用從 LinkedIn 或其他公開資訊來源取得的員工清單自行建立清單。
網路犯罪者有時候會以特定的員工群組(財務、行政人員、高階主管)為目標,因為有針對性的攻擊能夠產生更好的效果。他們通常會鎖定使用單一登入 (SSO) 或聯合驗證通訊協定(像是使用 Google 憑證登入 Facebook 的功能),或尚未導入多重因素驗證的公司或部門。
步驟 2:網路犯罪者會取得一份常見密碼清單
密碼噴灑攻擊包含常見或預設密碼清單。要找出最常見的密碼相對比較簡單 – 每年都有各種報告和研究公佈這些資訊,而 Wikipedia 甚至提供一個頁面,列出最常見的 10,000 個密碼。網路犯罪者可能透過自行研究來猜測密碼,例如,使用運動隊伍名稱或目標組織當地的著名地標。
步驟 3:網路犯罪者嘗試不同的使用者名稱/密碼組合
一旦網路犯罪者掌握一份使用者和密碼清單,接下來的目標便是不斷嘗試,直到找到可行的組合。通常這個過程會透過密碼噴灑工具自動完成。網路犯罪者會對多個使用者名稱使用單一密碼,然後使用清單中的下一個密碼重複這個流程,以避免觸發鎖定政策或 IP 位址攔截器,因為這類政策或攔截器會限制登入次數。
密碼噴灑攻擊的影響
一旦攻擊者透過密碼噴灑攻擊存取某個帳戶後,他們會希望其中包含之資訊的重要性高到值得竊取,或該帳戶具備充足的權限,可進一步削弱組織的安全性措施,以存取更敏感的資料。
密碼噴灑攻擊如果順利,可能會給組織帶來重大的損害。例如,攻擊者會使用看似合法的憑證存取財務帳戶,來進行詐欺性消費。如果未被發現,便可能會成為受影響企業的財務負擔。從網路攻擊恢復的時間可能會長達好幾月,甚至更久。
密碼噴灑攻擊不僅會影響組織的財務,也可能會大幅拖慢或中斷日常營運。範圍遍及全公司的惡意電子郵件可能會降低生產力。遭攻擊者掌管的企業帳戶可能會竊取私人資訊、取消購買,或變更服務的交付日期。
還會造成名譽上的損害 – 如果企業以這種方式遭到入侵,則客戶就不太可能相信其資料在該公司是安全的。客戶便會將業務轉移到他處,這對受害者而言是雪上加霜。
密碼噴灑範例
「當我的銀行遭到密碼噴灑攻擊鎖定時,我收到一項要求,要求我變更密碼。惡意行為者能夠嘗試數百萬個使用者名稱和密碼組合,來入侵銀行客戶的帳戶,不幸的是,我就是其中之一。」
密碼噴灑和暴力破解
密碼噴灑攻擊嘗試使用幾個常見的密碼,來存取大量帳戶。相反地,暴力破解攻擊會透過猜測密碼(通常使用一長串潛在密碼清單),嘗試以未經授權的方式存取單一帳戶。
換句話說,暴力破解攻擊涉及對各個使用者名稱使用多個密碼。密碼噴灑涉及對多個使用者名稱使用單一密碼。它們是執行驗證攻擊的不同方法。
密碼噴灑攻擊的跡象
密碼噴灑攻擊通常會導致在多個帳戶之間頻繁發生失敗的驗證嘗試。組織可透過檢閱驗證記錄中,是否有有效帳戶的系統和應用程式登入失敗情況,來偵測密碼噴灑活動。
整體來說,密碼噴灑攻擊的主要跡象為:
- 在短時間內出現大量登入活動。
- 活躍使用者登入嘗試失敗的次數激增。
- 有來自不存在或非活躍帳戶的登入。
如何防禦密碼噴灑攻擊
組織可以透過採取以下預防措施,來保護自身免於密碼噴灑攻擊:
導入高強度密碼政策
透過強制使用高強度密碼,IT
團隊就能將密碼噴灑攻擊的風險降到最低。您可以在此閱讀如何建立高強度密碼。
設定登入偵測
IT
團隊也應導入以下偵測機制:偵測在短時間內從單一主機對多個帳戶進行登入嘗試的情況,因為這是密碼噴灑嘗試的明顯跡象。
確保高強度的鎖定政策
為在網域層級的鎖定政策設立適當的閾值,可抵禦密碼噴灑攻擊。閾值的高低應恰如其分,必須夠低,可防止攻擊者在鎖定期間進行多次驗證嘗試,又不得太低,導致合法使用者因簡單的錯誤而遭到帳戶鎖定。同時應有明確的流程,可為經驗證的帳戶使用者進行解鎖和重設。
採用零信任方法
零信任方法的基石在於,在任何時候皆僅提供所需的存取權,以完成當前的任務。在組織內導入零信任方法,有助於提升網路安全性。
使用非標準的使用者名稱慣例
避免在電子郵件以外的地方選用像是 john.doe 或 jdoe
之類明顯的使用者名稱,因為這是最常見的使用者名稱命名方法。為單一登入帳戶單獨使用非標準登入,是躲避攻擊者的一種方式。
使用生物辨識
為避免攻擊者利用字母數字密碼的潛在弱點,某些組織會要求生物辨識登入。若本人不在場,攻擊者就無法登入。
尋找登入模式
確保實施的任何安全性措施都能快速識別可疑的登入模式,例如,大量帳戶同時嘗試登入的情形。
使用密碼管理器能有所幫助
密碼的用意便是保護敏感資訊,以免遭到惡意行為者竊取。特別是,每一組憑證都不應重複,因此現今一般的使用者擁有太多密碼,難以一一記住。
為了嘗試記住這些資訊,某些使用者會犯下錯誤,使用顯而易見或易於猜測的密碼,並通常會將相同的密碼用於多個帳戶。這些正是易於遭受密碼噴灑攻擊的密碼類型。
攻擊者的能力和工具在近幾年有顯著的進展。如今電腦猜測密碼的速度快了很多。攻擊者使用自動化的方式,來攻擊密碼資料庫或線上帳戶。這類攻擊者掌握特定的手法和策略,有助於進一步得逞。
對於個人使用者而言,使用 Kaspersky Password Manager 之類的密碼管理器會有所幫助。密碼管理器將複雜度和長度相結合,提供難以破解的密碼。這類工具也免除必須記憶不同登入詳細資料的重擔,此外,密碼管理器有助於確認是否針對不同的服務使用了重複的密碼。密碼管理器是相當實用的解決方案,可讓個人產生、管理和保存其唯一的憑證。
相關產品:
密碼噴灑攻擊是什麼?如何防範密碼噴灑攻擊?
Kaspersky
