Введение
Все мы знакомы с важностью учетных данных, поскольку они являются неотъемлемой частью нашей цифровой жизни. Каждый пользователь и организация хотят защитить учетные данные от утечки злоумышленнику. Иногда организация может иметь дело с некоторыми конфиденциальными данными. Есть два наиболее важных термина: «Заполнение учетных данных» и «Распространение пароля». В этом блоге мы собираемся обсудить эти два термина, сценарии их использования и шаги, которые можно предпринять для их исправления.
Что такое распыление паролей и добавление учетных данных?
Распространение паролей:
Распыление пароля - это тип атаки методом перебора, который обычно используется для подбора пароля пользователей. При типичной атаке методом грубой силы злоумышленники стремятся получить несанкционированный доступ к одной учетной записи, повторно угадывая пароль в течение короткого периода времени, обычно менее десяти минут. Большинство организаций внедрили контрмеры, наиболее типичным из которых является блокировка после пяти или десяти неудачных попыток. Но в атаке с распылением паролей злоумышленник будет обходить обычные меры противодействия (например, блокировку учетной записи), «распыляя» один и тот же пароль на несколько учетных записей, прежде чем пробовать другой пароль для этих учетных записей. Поскольку пароль проверяется на разных учетных записях, блокировка учетной записи не происходит.
Если какие-либо учетные данные работают на злоумышленнике приложения, получает доступ к учетной записи пользователя
Как и большинство организаций, работающих над внедрением единого входа, в этом случае, если злоумышленник получит доступ к учетной записи пользователя, он может скомпрометировать все свои учетные записи и получить доступ к конфиденциальным данным организации.
Некоторые общие подходы, которые необходимы для этого типа атаки:
- Первым злоумышленникам необходимо применить методы OSINT, чтобы идентифицировать организации и общие имена пользователей, для которых они могут использовать методы «распыления паролей».
- Получение списка наиболее часто используемых паролей, чтобы их можно было использовать в атаке с распылением паролей.
Исправление
- После определенного количества попыток необходимо, чтобы приложение блокировало не только пользователя, но и IP-адрес, с которого генерируются запросы.
- Организациям необходимо внедрить политику надежных паролей, чтобы самый распространенный пароль стал недействительным.
- Периодически меняйте пароль.
- Обучите сотрудников и обеспечьте их обучение, чтобы они лучше понимали угрозу.
- Организациям необходимо включить мониторинг в сети, чтобы, если пользователь входит в систему из неопознанного места, его попытка блокируется до тех пор, пока он не проверит себя.
Непрерывная активность Red Teaming и тестирование на проникновение также помогают обнаружить такую вредоносную активность. Разверните устройства защиты конечных точек, чтобы группа SOC могла идентифицировать вредоносную активность.
Заполнение учетных данных:
Злоумышленники крадут учетные данные (имя пользователя и пароль) от любого другого нарушения, которое могло произойти недавно, и используют их на другом веб-сайте, чтобы узнать, какие из них также действительны на другом веб-сайте. Как нам известно, большинство пользователей используют одни и те же имя пользователя и пароль для большинства своих учетных записей, поэтому в этом случае учетные данные могут работать и на других веб-сайтах.
Некоторые общие подходы, которые позволяют использовать эту атаку:
- Настройте бота, который начинает работать с многочисленными учетными записями в параллельном режиме и самостоятельно меняет исходный IP.
- Затем злоумышленник запускает автоматизированный процесс, чтобы проверить, работают ли учетные данные или нет, возможно, использует злоумышленник Burp или любой пользовательский кодированный сценарий.
- Если вход работает успешно, злоумышленник может украсть конфиденциальную информацию из учетных записей.
- Сохраните информацию об учетной записи для будущего использования, например для фишинговых атак.
Некоторые исследователи безопасности думают, что это то же самое, что и атака «грубой силы», но есть несколько причин, по которым она отличается от грубой силы.
- При атаке методом перебора злоумышленник подбирает пароль, используя слова из словаря против имени пользователя.
- В атаке методом грубой силы нет никакой связи с предыдущим взломом, но при заполнении учетных данных это полностью зависит от предыдущих данных о взломе.
- Меньше вероятность сбоя заполнения учетных данных, где, как в случае грубой силы, если администратор устанавливает фактор ограничения скорости, они не могут использовать его дальше.
Исправление
Организации реализуют несколько методов, чтобы спастись от атак с заполнением учетных данных. Давайте обсудим это.
- Хеширование учетных данных: в процессе хеширования пароль сначала получает хеш-код перед сохранением в базе данных. Таким образом, если хэши паролей просочились при любом взломе, вероятность того, что злоумышленник сможет получить от него пароль в виде открытого текста, меньше.
- Использование MFA / многофакторной аутентификации или 2FA. В MFA пользователи должны ввести учетные данные, а затем использовать альтернативный метод аутентификации, такой как токен MFA, то есть один токен, который генерируется случайным образом и отправляется на мобильное приложение или аутентификационное приложение пользователя. Поскольку бот злоумышленника не может предоставить токен, он не может получить доступ к учетной записи.
Если вы хотите больше узнать о 2FA, вы можете проверить мой предыдущий блог:
- Использование отпечатков пальцев устройства. Администратор приложения может использовать любой сценарий Java, который может предоставить информацию об операционной системе, языке, часовом поясе и пользовательском агенте. Если админ обнаружил один и тот же тип параметров несколько раз, то он может заблокировать активность.
Администратор также может реализовать строгие параметры снятия отпечатков пальцев, такие как запрет IP-адреса. Отпечатки пальцев могут представлять собой комбинацию 2–3 параметров, таких как операционная система, геолокация или язык.
- Использование капчи: если приложение реализует капчу Google или встроенную капчу, это уменьшит атаку с заполнением учетных данных. Поскольку пользователю нужно будет каждый раз вводить капчу, ввод учетных данных нельзя автоматизировать.
Все меры по смягчению последствий помогают предотвратить атаки организации по подбору учетных данных. Организация не может полностью предотвратить это с помощью вышеупомянутых методов, но ограничить атаки.
Заключение
И учетные данные, и методы заполнения и распыления паролей вращаются вокруг учетных данных. Таким образом, организациям крайне необходимо применять надежную политику паролей и периодически менять пароль. Обе атаки могут быть опасными, но правильные методы предотвращения могут помочь организациям смягчить или ограничить эффект этих атак.
