密码喷射攻击：防范攻击你需要知道的事项

密码喷洒是一种利用弱密码轻松攻破用户账户的网络威胁。这意味着在认证用户进入系统时，执行严格的访问控制至关重要。

本文概述了密码喷射攻击，包括其运作方式以及一些真实案例。我还将探讨这些攻击如何影响企业，以及检测和防范的机制。

什么是密码喷射？

密码喷射攻击是一种网络攻击，攻击者试图通过使用一个或多个常用密码跨多个账户访问用户账户。

MITRE AT&CK框架中的技术T1110.003，密码喷射不同于典型的暴力破解攻击，后者攻击者会对特定用户账户尝试多个密码。不过，我们可以考虑喷射暴力攻击——它涉及一种反复试验的方法，将单一密码“喷洒”到多个账户中搜索，直到找到匹配的密码。

这种方法使攻击者能够避免在不同密码的特定登录尝试次数超过时，避免账户锁定等对策。因此，没有适当的检测方法，很难检测到密码喷洒攻击。这些密码喷射攻击通常针对单点登录（SSO）和云端应用中使用的联邦认证。一旦攻击者获得初始访问权限，他们就可以访问组织的关键数据。

密码喷洒攻击的工作原理

密码喷射攻击分三个步骤进行。

步骤 1.获取用户名列表

首先，攻击者必须获取用户名列表。这并不难，这要归功于常见的电子邮件格式。例如，大多数公司使用标准电子邮件格式，例如：

• firstname.lastname@organizationname.com
• Firstinitial.lastname@organization.com

有时，可以在社交媒体或简单的 Google 搜索中找到与这些电子邮件相对应的用户名。此外，攻击者可以从暗网获取用户名。

步骤 2.喷洒密码

接下来，攻击者必须获取常用密码列表——该列表很容易在网上找到。为了避免被发现，攻击者通常会缓慢地进行密码喷洒。此外，攻击者可以利用工具包来自动化喷洒过程。

步骤 3.访问帐户并传播攻击以泄露用户数据

一旦喷洒攻击成功，如果在受害者的多个帐户中使用相同的密码，攻击者将可以访问这些帐户。这意味着攻击者可以根据该用户的帐户和权限进一步传播和破坏用户数据。

密码喷洒与撞库：一个主要区别

密码喷洒和撞库通常齐头并进。两者都是暴力攻击，旨在获取对用户帐户的未经授权的访问。然而，这两种类型的攻击之间存在差异。

撞库涉及使用攻击者获得的许多用户名和密码组合。同时，密码喷射攻击涉及针对多个用户帐户尝试单个或少量常用密码。

作为一般经验法则，我们可以说密码喷射攻击通常是针对特定目标进行的，因此可能比撞库更难检测。

密码喷射尝试示例

密码较弱、身份验证机制较差的用户帐户往往会成为密码喷射攻击的受害者。以下是一些促使组织加强安全措施的密码喷洒攻击的真实示例。

Microsoft Exchange Online（2022 年 10 月）

2022 年 10 月，Microsoft 警告称，密码喷射攻击针对的是使用基本身份验证的 Exchange Online 用户。攻击者使这些用户弃用 Exchange Online 的基本身份验证。Microsoft 的 Exchange 团队后来澄清说，在 Exchange Online 中禁用基本身份验证的决定只是为了保护用户帐户和数据免受日益增长的密码喷洒攻击。

Citrix （2018-2019）

2018年10月13日至2019年3月8日期间，一次密码喷射攻击成功未经授权访问了Citrix的内部网络。

该组织确认他们的商业文件和文件被盗。据Citrix称，部分用户的虚拟硬盘和公司邮箱账户被攻破，攻击者还针对多个内部应用。

Microsoft Office 365 （2019）

2019 年，一组攻击者针对 Microsoft Office 365 帐户进行了密码喷洒攻击。他们使用从以前的数据泄露中获得的密码列表访问客户的 1,800 个电子邮件帐户。

密码喷射攻击的影响

正如我们从这些例子中看到的那样，密码喷洒是一种严重的网络攻击，可能会对企业产生重大影响。

如果攻击者通过密码喷洒获得对组织系统或帐户的访问权限，他们可以利用这些帐户权限来访问敏感信息，例如财务和客户数据。此类数据泄露将损害企业声誉，尤其是在攻击者泄露客户数据的情况下。客户将失去对您的业务的信任，从而导致高流动率。

此外，企业将不得不承担数据泄露后的补救和损害控制成本。他们还可能因未能保护其系统和数据而受到处罚。它还可能包括监管机构、客户、合作伙伴和其他利益相关者的法律责任。此类后果可能导致：

• 巨大的经济损失
• 企业收入损失

此外，密码喷射攻击会降低 IT 团队的工作效率，扰乱他们专注于识别和修复攻击源的重要工作。因此，企业必须实施强大的安全机制，例如多因素身份验证和强密码策略，以消除这些攻击。

（获取最新的事件审查最佳做法和指标。

检测密码喷洒攻击：您受到攻击的迹象

以下是一些迹象，表明您的帐户正在遭受密码喷射攻击。

失败的登录尝试突然增加

假设您的 IT 团队监控多个用户帐户的登录尝试。今天，他们注意到失败的登录尝试或锁定的帐户突然增加，这可能表明密码喷射攻击正在进行中。

您可以通过检查所使用的密码并验证它们是否是用于提前访问帐户的泄露密码列表来确认攻击。攻击者还可能使用过时的登录信息，例如前员工的凭据——这表明攻击者访问了过时的员工目录。

异常帐户访问模式

如果您分析登录尝试，您可能会注意到与正常帐户访问行为不同的异常登录模式。例如：

• 在正常工作时间之外或从异常 IP 地址访问帐户的登录。
• 网络流量或带宽使用量的异常激增可能是密码喷射攻击的迹象。

使用机器学习进行监视和分析可用于识别这些异常访问模式。

（使用 Splunk 检测密码喷洒攻击。

如何避免和缓解密码喷射攻击

现在我们可以讨论防止此类攻击的方法。企业可以实施各种安全措施来防止密码喷洒攻击。这里有一些选项。

实施强密码策略

密码喷射攻击通常针对容易猜到的弱密码。因此，企业必须执行强密码策略，例如：

• 需要大小写字母、数字和特殊字符的组合来创建复杂的密码。
• 禁止使用容易被猜到或以前使用过的密码。

此外，必须强制实施强密码重置策略。例如，密码应该经常重置，例如每三个月重置一次，使攻击者难以访问帐户。此外，企业应迅速删除休眠用户帐户或不再访问或使用其系统的用户。

控制登录尝试次数

避免无限次输入密码。虽然现代系统不允许这样做，但仍有一些遗留系统允许这种做法。在一定次数的登录尝试失败后锁定帐户至关重要。那么攻击者就很难进行暴力攻击来猜测正确的密码。

通过警报进行监控

定期监控和分析登录尝试可以帮助组织主动检测和消除密码喷射攻击。它包括检测异常情况，例如来自单个 IP 地址的多次尝试失败以及网络流量突然增加。

一旦检测到任何可疑活动，组织可以发送警报以通知安全团队。然后，他们可以采取必要的作，例如阻止攻击者、禁用受感染的帐户以及实施多重身份验证。

（阅读有关监控和可观测性的完整指南。

实现多重身份验证 （MFA）

MFA 通过要求两种或多种身份验证机制，为登录过程增加了额外的安全层。例如，一旦用户提供了正确的密码，MFA 将要求他输入通过短信发送的安全代码或使用身份验证器应用程序来批准登录过程。

这使得攻击者更难访问帐户，即使他们获得了正确的密码。