De to mest almindeligt anvendte metoder til at få adgang til uautoriserede konti er (a) Brute Force Attack og (b) Password Spray Attack . Vi har forklaret Brute Force Attacks tidligere. Denne artikel fokuserer på Password Spray Attack - hvad det er, og hvordan du beskytter dig selv mod sådanne angreb.

Password Spray Attack Definition

Password Spray Attack er det modsatte af Brute Force Attack . I Brute Force- angreb vælger hackere et sårbart id og indtaster adgangskoder en efter en i håb om, at en adgangskode kan lade dem komme ind. Grundlæggende^(Basically) er Brute Force mange adgangskoder, der anvendes på kun ét id.

Når det kommer til Password Spray -angreb, er der én adgangskode anvendt på flere bruger- id'er^(IDs) , så mindst et af bruger-id'erne er kompromitteret. Til Password Spray -angreb indsamler hackere flere bruger- id'er^(IDs) ved hjælp af social engineering eller andre phishing-metoder^{(phishing methods)} . Det sker ofte, at mindst én af disse brugere bruger en simpel adgangskode som 12345678 eller endda [email protected] . Denne sårbarhed (eller mangel på information om, hvordan man skaber stærke adgangskoder^{(create strong passwords)} ) udnyttes i Password Spray Attacks .

I et sprayangreb^{(Password Spray Attack)} med adgangskode vil hackeren anvende en omhyggeligt konstrueret adgangskode til alle de bruger- id'er^(IDs) , han eller hun har indsamlet. Hvis du er heldig, kan hackeren få adgang til én konto, hvorfra han/hun kan trænge yderligere ind i computernetværket.

Password Spray Attack kan således defineres som at anvende den samme adgangskode til flere brugerkonti i en organisation for at sikre uautoriseret adgang til en af ​​disse konti.^{(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)}

Brute Force Attack vs Password Spray Attack

Problemet med Brute Force Attacks er, at systemer kan låses ned efter et vist antal forsøg med forskellige adgangskoder. Hvis du f.eks. konfigurerer serveren til kun at acceptere tre forsøg, ellers låser systemet, hvor login finder sted, ned, vil systemet låse for kun tre ugyldige adgangskoder. Nogle organisationer tillader tre, mens andre tillader op til ti ugyldige forsøg. Mange hjemmesider bruger denne låsemetode i disse dage. Denne forholdsregel er et problem med Brute Force Attacks , da systemlockdown vil advare administratorerne om angrebet.

For at omgå det blev ideen om at indsamle bruger- id'er^(IDs) og anvende sandsynlige adgangskoder til dem. Også med Password Spray Attack praktiseres visse forholdsregler af hackerne. For eksempel, hvis de forsøgte at anvende password1 på alle brugerkonti, vil de ikke begynde at anvende password2 på disse konti kort efter at have afsluttet første runde. De vil efterlade en periode på mindst 30 minutter blandt hackingforsøg.

Beskyttelse mod adgangskodesprayangreb^{(Password Spray Attacks)}

Både Brute Force Attack og Password Spray - angreb kan stoppes midtvejs, forudsat at der er relaterede sikkerhedspolitikker på plads. De 30 minutters mellemrum, hvis udeladt, vil systemet igen låse, hvis der tages forbehold for det. Visse andre ting kan også anvendes, såsom at tilføje tidsforskel mellem logins på to brugerkonti. Hvis det er en brøkdel af et sekund, skal du øge timingen for, at to brugerkonti logger ind. Sådanne politikker hjælper med at advare administratorerne, som derefter kan lukke serverne ned eller låse dem ned, så der ikke sker nogen læse-skrive-handling på databaser.

Den første ting at beskytte din organisation mod Password Spray Attacks er at uddanne dine medarbejdere om typerne af social engineering-angreb, phishing-angreb og vigtigheden af ​​adgangskoder. På den måde vil medarbejderne ikke bruge nogen forudsigelige adgangskoder til deres konti. En anden metode er, at administratorer giver brugerne stærke adgangskoder, der forklarer behovet for at være forsigtige, så de ikke noterer adgangskoderne og sætter dem fast på deres computere.

Der er nogle metoder, der hjælper med at identificere sårbarhederne i dine organisatoriske systemer. For eksempel, hvis du bruger Office 365 Enterprise , kan du køre Attack Simulator for at vide, om nogen af ​​dine medarbejdere bruger en svag adgangskode.

Læs næste^{(Read next)} : Hvad er Domain Fronting ?

Password Spray Attack Definition and Defending yourself

The two most commonly used mеthods to gain access to unauthorized accounts аre (a) Brute Force Attack, and (b) Password Spray Attaсk. We have explained Brute Force Attacks earlier. This article focuses on Password Spray Attack – what it is and how to protect yourself from such attacks.

Password Spray Attack Definition

Password Spray Attack is quite the opposite of Brute Force Attack. In Brute Force attacks, hackers choose a vulnerable ID and enter passwords one after another hoping some password might let them in. Basically, Brute Force is many passwords applied to just one ID.

Coming to Password Spray attacks, there is one password applied to multiple user IDs so that at least one of the user ID is compromised. For Password Spray attacks, hackers collect multiple user IDs using social engineering or other phishing methods. It often happens that at least one of those users is using a simple password like 12345678 or even [email protected]. This vulnerability (or lack of info on how to create strong passwords) is exploited in Password Spray Attacks.

In a Password Spray Attack, the hacker would apply a carefully constructed password for all the user IDs he or she has collected. If lucky, the hacker might gain access to one account from where s/he can further penetrate into the computer network.

Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.

Brute Force Attack vs Password Spray Attack

The problem with Brute Force Attacks is that systems can be locked down after a certain number of attempts with different passwords. For example, if you set up the server to accept only three attempts otherwise lock down the system where login is taking place, the system will lock down for just three invalid password entries. Some organizations allow three while others allow up to ten invalid attempts. Many websites use this locking method these days. This precaution is a problem with Brute Force Attacks as the system lockdown will alert the administrators about the attack.

To circumvent that, the idea of collecting user IDs and applying probable passwords to them was created. With Password Spray Attack too, certain precautions are practiced by the hackers. For example, if they tried to apply password1 to all the user accounts, they will not start applying password2 to those accounts soon after finishing the first round. They’ll leave a period of at least 30 minutes among hacking attempts.

Protecting against Password Spray Attacks

Both Brute Force Attack and Password Spray attacks can be stopped midway provided that there are related security policies in place. The 30 min gap if left out, the system will again lock down if a provision is made for that. Certain other things also can be applied, like adding time difference between logins on two user accounts. If it is a fraction of a second, increase timing for two user accounts to log in. Such policies help in alerting the administers who can then shut down the servers or lock them down so that no read-write operation happens on databases.

The first thing to protect your organization from Password Spray Attacks is to educate your employees about the types of social engineering attacks, phishing attacks, and the importance of passwords. That way employees won’t use any predictable passwords for their accounts. Another method is admins providing the users with strong passwords, explaining the need to be cautious so that they don’t note down the passwords and stick it to their computers.

There are some methods that help in identifying the vulnerabilities in your organizational systems. For example, if you are using Office 365 Enterprise, you can run Attack Simulator to know if any of your employees are using a weak password.

Read next: What is Domain Fronting?

Related posts

• Denne funktion kræver flytbare medier - Fejl ved nulstilling af adgangskode

• Indstil en adgangskodeudløbsdato for Microsoft-konto og lokal konto

• Sådan får du browseren til at vise gemt adgangskode i tekst i stedet for prikker

• LessPass er en gratis adgangskodegenerator og -administrator

• Bitwarden anmeldelse: Gratis Open Source Password Manager til Windows PC

• RandPass Lite er en gratis bulk tilfældig adgangskodegenerator til Windows 10

• F-Secure KEY: Password Manager freeware til Windows 10

• Password Security Scanner: Analyser og kontroller styrken af ​​din adgangskode

• Zoho Vault Password Manager gratis version & Chrome & Firefox-udvidelse

• Sådan eksporteres LastPass-adgangskoder til CSV

• Glemt Windows Administrator Adgangskode Offline NT Adgangskode

• NordPass Password Manager holder dine private data sikre

• Brute Force Attacks - Definition og forebyggelse

• SafeInCloud Password Manager synkroniserer database med Cloud-konti

• Forhindr Pwned Password Add-on til Firefox

• Sådan aktiveres eller deaktiveres knappen Reveal Password i Microsoft Edge

• Tjek adgangskodens styrke med værktøjerne til kontrol af adgangskodestyrke

• Fjern ALLE gemte adgangskoder på én gang i Chrome, Firefox, Edge

• Enpass Password Manager til Windows 10

• Dashlane Free: Automatiser dit login og onlinetransaktioner