I due metodi più comuni usati per accedere agli account non autorizzati sono (a) Brute Force Attack e (b) Password Spray Attack. Abbiamo già spiegato Brute Force Attacks in precedenza. Questo articolo si concentra su Password Spray Attack - Che cos'è e come proteggersi da tali attacchi.
Definizione di attacco spray password
Password Spray Attack è esattamente l'opposto di Brute Force Attack. Negli attacchi Brute Force, gli hacker scelgono un ID vulnerabile e inseriscono le password una dopo l'altra sperando che qualche password possa farle entrare. Fondamentalmente, Brute Force è composta da molte password applicate a un solo ID.
Venendo agli attacchi di Spray di password, c'è una password applicata a più ID utente in modo che almeno uno degli ID utente è compromessa. Per gli attacchi di Password Spray, gli hacker raccolgono più ID utente utilizzando l'ingegneria sociale o altri metodi di phishing. Accade spesso che almeno uno di quegli utenti stia usando una password semplice come 12345678 o anche p @ ssw0rd. Questa vulnerabilità (o la mancanza di informazioni su come creare password complesse) viene sfruttata in Password Spray Attacks.
In un attacco a spruzzo di password, l'hacker applica una password costruita con cura per tutti gli ID utente che ha raccolto. Se fortunati, l'hacker potrebbe ottenere l'accesso a un account da cui è possibile penetrare ulteriormente nella rete di computer.
Si può quindi definire Password Spray Attack applicando la stessa password a più account utente in un'organizzazione per proteggere l'accesso non autorizzato a uno di questi account.
Attacco a spruzzo di forza bruta attacco vs password
Il problema con Brute Force Attacks è che i sistemi possono essere bloccati dopo un certo numero di tentativi con password diverse. Ad esempio, se si imposta il server in modo che accetti solo tre tentativi, altrimenti blocca il sistema in cui si sta effettuando l'accesso, il sistema bloccherà solo tre voci di password non valide. Alcune organizzazioni ne consentono tre mentre altre consentono fino a dieci tentativi non validi. Molti siti Web utilizzano questo metodo di blocco in questi giorni. Questa precauzione è un problema con gli attacchi Brute Force poiché il blocco del sistema avviserà gli amministratori dell'attacco.
Per aggirare questo problema, è stata creata l'idea di raccogliere gli ID utente e di applicare loro password probabili. Con Password Spray Attack anche alcune precauzioni sono praticate dagli hacker. Ad esempio, se hanno provato ad applicare password1 a tutti gli account utente, non inizieranno ad applicare password2 a quegli account subito dopo aver terminato il primo round. Lasceranno un periodo di almeno 30 minuti tra i tentativi di hacking.
Protezione contro gli attacchi di spruzzi di password
Entrambi gli attacchi Brute Force Attack e Password Spray possono essere interrotti a metà strada, a condizione che siano in atto politiche di sicurezza correlate. Se il gap di 30 minuti viene lasciato fuori, il sistema si bloccherà di nuovo se viene fatto un accantonamento per quello. Alcune altre cose possono essere applicate, ad esempio aggiungendo la differenza di orario tra gli accessi su due account utente. Se si tratta di una frazione di secondo, aumentare i tempi per l'accesso di due account utente. Tali politiche aiutano ad avvisare gli amministratori che possono quindi arrestare i server o bloccarli in modo che non avvenga alcuna operazione di lettura-scrittura sui database.
La prima cosa che protegge la tua organizzazione da Password Spray Attacks è educare i tuoi dipendenti sui tipi di attacchi di social engineering, attacchi di phishing e importanza delle password. In questo modo i dipendenti non useranno alcuna password prevedibile per i loro account. Un altro metodo sono gli amministratori che forniscono agli utenti password complesse, spiegando la necessità di essere cauti in modo che non annotino le password e le colleghino ai loro computer.
Esistono alcuni metodi che aiutano a identificare le vulnerabilità nei sistemi organizzativi. Ad esempio, se si utilizza Office 365 Enterprise, è possibile eseguire Attack Simulator per sapere se qualcuno dei dipendenti utilizza una password debole.