密码喷洒攻击

什么是密码喷洒攻击？

密码喷洒是一种暴力破解攻击，恶意行为者会对多个账户尝试使用同一个密码进行破解，然后再尝试另一个密码。密码喷洒攻击通常很容易成功，因为很多用户会使用简单易猜的密码，如“password”或“123456”等。

在很多组织中，用户尝试登录失败达到一定次数后会被锁定。由于密码喷洒攻击是针对多个账户尝试同一个密码，因此避免了在使用多个密码暴力破解单个账户时通常会发生的账户锁定。

“喷洒”这个词形象地说明了这类攻击的特点，即它可以一次性针对数千甚至数百万个不同的用户，而不仅仅是瞄准一个账户。这一过程通常是自动进行的，而且可以循序渐进地执行，避免被检测到。

密码喷洒攻击通常发生在特定组织内的应用程序或管理员为新用户设置默认密码的情况下。单点登录和基于云的平台也特别容易遭受这类攻击。

虽然与其他类型的网络攻击相比，密码喷洒可能看起来很简单，但即使是经验丰富的网络犯罪团伙也会采用这种攻击手段。例如，在 2022 年，美国网络安全与基础设施安全局 (CISA) 就国家支持的网络攻击者发布提醒，列出了这类攻击者在入侵目标网络时使用的各种策略，其中就包括密码喷洒。

密码喷洒攻击是如何运作的？

密码喷洒攻击通常涉及以下阶段：

第 1 步：网络犯罪分子购买用户名列表或自建列表

为了发起密码喷洒攻击，网络犯罪分子通常会先购买用户名列表，这些列表是从各种组织窃取而来的。据估计，暗网上有超过 150 亿个凭证在出售。

此外，网络犯罪分子还可能会按照公司电子邮件地址的格式（例如 firstname.lastname@companyname.com）以及使用从 LinkedIn 或其他公共信息来源获得的员工名单自建列表。

网络犯罪分子有时会针对特定的员工群体，例如财务人员、管理员或高管，因为定向攻击的效果往往更好。他们通常会以使用单点登录 (SSO)、联合身份验证协议（例如能够使用 Google 凭证登录 Facebook），或者尚未实施多因素身份验证的公司或部门作为目标。

第 2 步：网络犯罪分子获取常见密码列表

密码喷洒攻击会使用常见或默认密码列表。要找出最常见的密码相对简单——每年都会有各种报告或调查发布这类密码，维基百科上甚至有一个页面列出了最常见的 10,000 个密码。网络犯罪分子也可能通过自己的研究来猜测密码——例如，使用目标组织所在地的运动队或著名地标的名称。

第 3 步：网络犯罪分子尝试不同的用户名/密码组合

一旦网络犯罪分子获得了用户名和密码列表，他们就会不断尝试，直至找到有用的组合。这个过程通常是借助密码喷洒工具来自动完成的。网络犯罪分子针对多个用户名使用一个密码进行破解，然后使用列表中的下一个密码重复此过程，以避免触发限制登录尝试次数的锁定策略或 IP 地址阻止程序。

密码喷洒攻击的影响

一旦攻击者通过密码喷洒攻击进入某个账户，他们会寄希望于该账户包含具有窃取价值的信息，或者具有足够的权限来进一步削弱组织的安全防线，从而访问更敏感的数据。

密码喷洒攻击一旦得逞，可能会对组织造成重大损害。例如，攻击者使用看似合法的凭证可以访问金融账户，从而进行欺诈性购买。如果未被检测到，这可能会给受害企业造成财务损失。遭受网络攻击后，可能会需要几个月甚至更长时间才能恢复。

除了给组织造成财务影响外，密码喷洒还会大大降低日常运营的效率，甚至导致运营中断。波及整个公司的恶意电子邮件会降低工作效率。攻击者接管企业账户后，可能会窃取私人信息、取消购买或更改服务的交付日期。

然后，还会导致声誉受损——如果一家企业遭到这类入侵，客户就不太可能相信他们的数据在该公司是安全的。他们可能会将业务转移到其他地方，这对受害者而言是雪上加霜。

办公室里看着电脑屏幕的同事

密码喷洒示例

“当我的银行账号成为密码喷洒攻击的目标时，我被要求更改密码。恶意行为者能够针对银行的客户，尝试数百万种用户名和密码组合，不幸的是，我就是其中之一。”

密码喷洒与暴力破解的区别

密码喷洒攻击尝试使用几个常见密码来访问大量账户。相比之下，暴力破解攻击是通过猜测密码来获得对某个账户的未经授权访问，在这个过程中通常会使用大量潜在密码列表。

也就是说，暴力破解攻击是针对每个用户名尝试多个密码，而密码喷洒是针对多个用户名尝试一个密码。它们是实施身份验证攻击的不同方式。

密码喷洒攻击的迹象

密码喷洒攻击通常会导致多个账户频繁出现身份验证尝试失败。组织可以通过查看系统和应用程序的有效账户登录失败的身份验证日志来检测密码喷洒活动。

整体而言，密码喷洒攻击的主要迹象如下：

短时间内出现大量登录活动。
活跃用户的登录尝试失败次数突然激增。
有不存在或非活跃账户登录的情况。

如何防御密码喷洒攻击

组织可以通过以下预防措施来防御密码喷洒攻击：

实施强密码策略
通过强制要求使用强密码，IT 团队可以将遭受密码喷洒攻击的风险降至最低。您可以点击此处了解如何创建强密码。

设置登录检测
IT 团队还应该对短时间内在单个主机上对多个账户进行登录尝试的行为进行检测，因为这明显表明存在密码喷洒尝试。

确保强锁定策略
在域级别为锁定策略设置合适的阈值可以防止密码喷洒。阈值需要进行权衡：一方面要足够低，这样才能防止攻击者在锁定期内进行多次身份验证尝试；另一方面也不能太低，以免合法用户因简单错误而被锁定账户。此外，还应有明确的过程，用于解锁和重置经核实的账户用户。

采用零信任方法
零信任方法的核心是只在任何给定时间内提供完成手头任务所需的访问权限。在组织内实施零信任是增强网络安全的关键举措。

使用非标准用户名的方法
除电子邮件以外，避免选择像 john.doe 或 jdoe 这样明显的用户名，这些是最常见的用户名选用方法。针对单点登录账户使用单独的非标准登录凭证可以规避攻击者。

使用生物特征
为了防止攻击者利用字母数字密码的潜在弱点，一些组织要求采用生物特征登录方式。如果本人不在场，攻击者就无法登录。

注意登录模式
确保现有的任何安全措施能够快速识别可疑的登录模式，例如大量账户试图同时登录。

建议使用密码管理器

密码用于保护敏感信息不被恶意行为者窃取。然而，如今的普通用户有太多的密码，因此很难全部记住，尤其是每组凭证都应该是唯一的情况下。

为了记住这些密码，一些用户会犯错，包括使用明显或易猜密码，以及经常在多个账户中使用同一个密码。这些密码正是容易受到密码喷洒攻击的密码类型。

近年来，攻击者的能力和工具有了很大的演变。现在的计算机猜密码的速度也大大提升。攻击者会借助自动化操作来攻击密码数据库或在线账户。他们掌握了特定的技术和策略，攻击也更容易成功。

对于个人用户而言，使用 Kaspersky Password Manager 这样的密码管理器会有所帮助。密码管理器可以生成满足复杂性和长度要求且难以破解的密码。有了密码管理器，用户也不再需要费力记住不同的登录信息，而且还可以检查不同服务的密码是否存在重复。对个人来说，密码管理器可用于生成、管理和存储其唯一的凭证，是一种实用的解决方案。

相关产品：