Cos'è la password spray e come può essere usata contro di te?
Annuncio pubblicitario
Quando pensi all'hacking delle password, probabilmente immagini un hacker che prova diverse centinaia di password su un singolo account. Mentre ciò accade ancora, non è sempre quello che succede; a volte un hacker eseguirà invece la password spray.
Analizziamo che cosa è la spruzzatura della password e cosa puoi fare per difenderti.
Che cos'è la spruzzatura delle password?
Se un attacco di hacking "normale" comporta il tentativo di provare molte password diverse su pochi account, la diffusione della password è il contrario. È quando un hacker ha accesso a molti nomi di account diversi e cerca di introdurlo utilizzando solo poche password.
Gli hacker non eseguiranno il metodo di hacking "normale" se la sicurezza dell'account è limitata. Un sistema sicuro noterà qualcuno che tenta ripetutamente di accedere a un account e lo bloccherà per proteggere la privacy del target. Potresti averlo sperimentato tu stesso quando hai inserito la password in un servizio in modo errato troppe volte, ti blocca.
Se gli hacker utilizzano solo un numero limitato di password per attacco, quali password utilizzano? La migliore scommessa dell'hacker è utilizzare alcune delle password più comunemente utilizzate su Internet. In questo modo, massimizzano la possibilità di riuscire a sfondare quella piccola finestra di opportunità.
Le password che usiamo sono deboli?
Naturalmente, questo attacco dipende interamente da qualcuno che utilizza una password di uso comune sul proprio account. Al giorno d'oggi, tuttavia, quanto è probabile che qualcuno utilizzi una di queste password?
Sfortunatamente, le nostre abitudini di password non sono migliorate molto nel corso degli anni. L'NCSC ha condotto uno studio su organizzazioni disponibili per testare quanto siano suscettibili a un attacco a spruzzo. Hanno scoperto che il 75% delle organizzazioni aveva almeno un account che utilizzava una password tra le prime 1000 password e l'87% aveva almeno un account con una password tra le prime 10.000.
Questo è il difetto di sicurezza che gli spruzzatori di password mirano a sfruttare. Tutto ciò che serve è che un utente in un'organizzazione usi una password debole per far funzionare un attacco a spruzzo. Una volta che l'hacker accede a quell'account, può usare questa leva per approfondire il sistema.
Chi è a rischio di un attacco a spruzzo di password?
In genere, gli hacker utilizzano questi attacchi a grandi aziende e organizzazioni. Usano anche la password che spruzza contro gli utenti in una perdita di database, in cui l'hacker ha un gran numero di nomi di account a disposizione ma nessuna password.
Qualsiasi situazione in cui un hacker ha una vasta gamma di account da attraversare, ma ha solo una finestra limitata per attaccare ciascuno, è quando la spruzzatura della password diventa il metodo di attacco preferito.
Gli hacker scelgono la spruzzatura della password quando gli account hanno una severa penalità per voci errate. Se un hacker ottiene informazioni sugli account di un sito Web, ma il sito Web consente solo cinque tentativi di password prima di bloccare l'account, un hacker utilizzerà le prime cinque password più utilizzate nella speranza che le persone li usino.
Esistono casi reali di irrorazione di password?
In un mondo ideale, tutti all'interno di un'organizzazione useranno una password complessa per tenere fuori gli spruzzatori. Sfortunatamente, gli hacker hanno avuto successo in passato con la tattica, tanto che Redmond Mag ha riferito su come l'irrorazione delle password ha visto un aumento dei casi nel 2018.
Molti degli attacchi sono focalizzati sulle imprese, presumibilmente per rubare preziosi documenti commerciali a scopo di lucro. Le organizzazioni possono anche avere una struttura nome utente che rende facile per gli hacker la raccolta di un elenco di nomi da attaccare.
Threatpost ha riferito di come Citrix è stata colpita da un attacco a spruzzo dopo che uno dei suoi account è stato compromesso. Gli hacker hanno ottenuto preziosi documenti commerciali attraverso le autorizzazioni scoperte nell'account a cui hanno avuto accesso.
La parte spaventosa di questo attacco è quanto fosse silenzioso; a causa della natura "low-down" dell'irrorazione della password, non ha provocato alcun allarme o preoccupazione. Citrix non aveva idea che l'attacco fosse avvenuto fino a quando l'FBI non li aveva informati molto dopo che l'attacco era andato e veniva.
Come difendersi dagli spruzzi di password
La soluzione a questo attacco è semplice; usa password migliori! La spruzzatura della password dipende interamente dall'utilizzo di una password che si trova nella top 100 delle più utilizzate.
Rendendo la tua password più complicata, ti allontani dal pool di password che uno spruzzatore utilizzerà contro di te. Per cominciare, se la tua password è una delle peggiori password Le peggiori password del 2018, rivelate Le peggiori password del 2018, rivelate Ora conosciamo le peggiori password del 2018. Queste sono le password che non dovresti mai usare, anche se Kanye West dice tu per farlo. Leggi di più, assicurati di cambiarlo immediatamente!
Se vuoi scavare un po 'più a fondo, Password Random ha un elenco delle prime 10.000 password più utilizzate. C'è una lingua per adulti in queste password, quindi fai attenzione a dove la leggi!
Cosa rende una buona password?
Ora che sappiamo cosa rende una password debole, cosa va in una buona?
Il problema con le password è che più sono complesse, più sono forti; tuttavia, più sono difficili da ricordare.
Il motivo per cui le persone ricorrono a password come "password" o "12345" è che sono facili da ricordare e digitare. Non ci sono lettere maiuscole o simboli strani in esse, ma quelli sono ciò che è necessario per aiutare a battere un attacco di password sprayer.
Per fortuna, ci sono modi per progettare una password che sia forte e memorabile. Se l'igiene della tua password non è all'altezza, assicurati di leggere come creare una password sicura che non dimenticherai Come creare una password sicura che non dimenticherai Come creare una password sicura che non dimenticherai Sai come creare e ricordare una buona password? Ecco alcuni suggerimenti e trucchi per mantenere password complesse e separate per tutti i tuoi account online. Leggi di più .
Proteggiti con password più forti
La spruzzatura delle password è un problema significativo per utenti e aziende che non usano password complesse. A volte, tutto ciò che serve è che un account abbia una password debole e gli hacker possono usare la leva per fare ulteriori danni all'interno del sistema. Per fortuna, rafforzando le tue password e usando 2FA, puoi difenderti.
Sfortunatamente, la spruzzatura delle password non è l'unica tattica utilizzata dagli hacker. Assicurati di leggere le tattiche più comuni utilizzate per hackerare le password Le 7 tattiche più comuni utilizzate per hackerare le password Le 7 tattiche più comuni utilizzate per hackerare le password Quando senti "violazione della sicurezza", cosa ti viene in mente? Un hacker malevolo? Qualche ragazzino nel seminterrato? La realtà è che tutto ciò che serve è una password e gli hacker hanno 7 modi per ottenere la tua. Maggiori informazioni per rafforzare ulteriormente la sicurezza.
Credito di immagine: yekophotostudio / Depositphotos
Scopri di più su: Hacking, Password.