Kaksi yleisimmin käytettyä tapaa päästä luvattomille tileille ovat (a) Brute Force Attack ja (b) Password Spray Attack . Olemme selittäneet Brute Force Attacksin^{(Brute Force Attacks)} aiemmin. Tämä artikkeli keskittyy Password Spray Attackiin^{(Password Spray Attack)} – mitä se on ja kuinka suojautua tällaisilta hyökkäyksiltä.

Salasana Spray Attack Definition

Password Spray Attack on täysin vastakohta Brute Force Attackille^{(Brute Force Attack)} . Brute Force -hyökkäyksissä hakkerit valitsevat haavoittuvan tunnuksen ja syöttävät salasanoja peräkkäin toivoen, että jokin salasana päästäisi heidät sisään. Pohjimmiltaan ^(Basically)Brute Force on monia salasanoja , joita käytetään vain yhteen tunnukseen.

Password Spray -hyökkäys

Mitä tulee Password Spray -hyökkäyksiin, useisiin ^{(Password Spray)}käyttäjätunnuksiin^(IDs) käytetään yhtä salasanaa, jotta ainakin yksi käyttäjätunnus vaarantuu. Password Spray -hyökkäyksiä varten hakkerit keräävät useita käyttäjätunnuksia käyttämällä^(IDs) manipulointia tai^{(social engineering)} muita tietojenkalastelumenetelmiä^{(phishing methods)} . Usein käy niin, että ainakin yksi käyttäjistä käyttää yksinkertaista salasanaa, kuten 12345678 tai jopa [email protected] . Tätä haavoittuvuutta (tai tiedon puutetta vahvojen salasanojen luomisesta^{(create strong passwords)} ) hyödynnetään Password Spray Attacksissa^{(Password Spray Attacks)} .

Password Spray Attackissa^{(Password Spray Attack)} hakkeri käyttäisi huolellisesti laadittua salasanaa kaikille keräämilleen käyttäjätunnuksille^(IDs) . Hyvällä tuurilla hakkeri voi päästä yhdelle tilille, josta hän voi tunkeutua edelleen tietokoneverkkoon.

Password Spray Attack voidaan siis määritellä käyttämällä samaa salasanaa useille organisaation käyttäjätileille luvattoman pääsyn turvaamiseksi yhdelle näistä tileistä.^{(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)}

Brute Force Attack vs Password Spray Attack

Brute Force Attacksin^{(Brute Force Attacks)} ongelmana on, että järjestelmät voidaan lukita tietyn yrityksen jälkeen eri salasanoilla. Jos esimerkiksi määrität palvelimen hyväksymään vain kolme yritystä, muuten lukitsee järjestelmän, johon kirjautuminen tapahtuu, järjestelmä lukittuu vain kolmen virheellisen salasanan vuoksi. Jotkut organisaatiot sallivat kolme, kun taas toiset sallivat jopa kymmenen virheellistä yritystä. Monet verkkosivustot käyttävät tätä lukitusmenetelmää nykyään. Tämä varotoimenpide on ongelma Brute Force Attacksissa^{(Brute Force Attacks)} , koska järjestelmän lukitus varoittaa järjestelmänvalvojia hyökkäyksestä.

Tämän kiertämiseksi luotiin ajatus käyttäjätunnusten keräämisestä ja mahdollisten salasanojen käyttämisestä niihin. ^(IDs)Myös Password Spray Attackissa^{(Password Spray Attack)} hakkerit noudattavat tiettyjä varotoimia . Jos he esimerkiksi yrittivät käyttää salasanaa1 kaikille käyttäjätileille, he eivät ala käyttää salasanaa2 näillä tileillä pian ensimmäisen kierroksen jälkeen. He jättävät vähintään 30 minuutin ajanjakson hakkerointiyritysten kesken.

Suojautuminen salasanaspray-hyökkäyksiä vastaan^{(Password Spray Attacks)}

Sekä Brute Force Attack- että Password Spray -hyökkäykset voidaan pysäyttää puolivälissä edellyttäen, että niihin liittyvät suojauskäytännöt ovat käytössä. Jos 30 minuutin tauko jätetään pois, järjestelmä lukittuu uudelleen, jos siihen varataan. Myös tiettyjä muita asioita voidaan soveltaa, kuten aikaeron lisääminen kahden käyttäjätilin kirjautumisten välillä. Jos se on sekunnin murto-osa, lisää kahden käyttäjätilin kirjautumisaikaa. Tällaiset käytännöt auttavat hälyttämään järjestelmänvalvojia, jotka voivat sitten sulkea palvelimet tai lukita ne, jotta tietokannassa ei tapahdu luku- ja kirjoitustoimintoja.

Ensimmäinen asia, joka suojaa organisaatiotasi Password Spray Attackilta^{(Password Spray Attacks)} , on kouluttaa työntekijöitäsi manipulointihyökkäyksistä, tietojenkalasteluhyökkäyksistä ja salasanojen tärkeydestä. Näin työntekijät eivät käytä tililleen ennakoitavissa olevia salasanoja. Toinen tapa on järjestelmänvalvojien antaminen käyttäjille vahvoilla salasanoilla, mikä selittää, että heidän on oltava varovaisia, jotta he eivät kirjoita salasanoja muistiin ja kiinnitä niitä tietokoneisiinsa.

On olemassa joitakin menetelmiä, jotka auttavat tunnistamaan organisaatiojärjestelmien haavoittuvuudet. Jos käytät esimerkiksi Office 365 Enterprisea^(Enterprise) , voit suorittaa Attack Simulatorin saadaksesi selville, käyttääkö joku työntekijöistäsi heikkoa salasanaa.

Lue seuraavaksi^{(Read next)} : Mikä on Domain Fronting ?

Password Spray Attack Definition and Defending yourself

The two most commonly used methods to gain access to unauthorіzed accounts are (а) Brute Forcе Attack, and (b) Password Spray Attack. We have explained Brute Force Attacks earlier. This article focuses on Password Spray Attack – what it is and how to protect yourself from such attacks.

Password Spray Attack Definition

Password Spray Attack is quite the opposite of Brute Force Attack. In Brute Force attacks, hackers choose a vulnerable ID and enter passwords one after another hoping some password might let them in. Basically, Brute Force is many passwords applied to just one ID.

Password Spray attack

Coming to Password Spray attacks, there is one password applied to multiple user IDs so that at least one of the user ID is compromised. For Password Spray attacks, hackers collect multiple user IDs using social engineering or other phishing methods. It often happens that at least one of those users is using a simple password like 12345678 or even [email protected]. This vulnerability (or lack of info on how to create strong passwords) is exploited in Password Spray Attacks.

In a Password Spray Attack, the hacker would apply a carefully constructed password for all the user IDs he or she has collected. If lucky, the hacker might gain access to one account from where s/he can further penetrate into the computer network.

Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.

Brute Force Attack vs Password Spray Attack

The problem with Brute Force Attacks is that systems can be locked down after a certain number of attempts with different passwords. For example, if you set up the server to accept only three attempts otherwise lock down the system where login is taking place, the system will lock down for just three invalid password entries. Some organizations allow three while others allow up to ten invalid attempts. Many websites use this locking method these days. This precaution is a problem with Brute Force Attacks as the system lockdown will alert the administrators about the attack.

To circumvent that, the idea of collecting user IDs and applying probable passwords to them was created. With Password Spray Attack too, certain precautions are practiced by the hackers. For example, if they tried to apply password1 to all the user accounts, they will not start applying password2 to those accounts soon after finishing the first round. They’ll leave a period of at least 30 minutes among hacking attempts.

Protecting against Password Spray Attacks

Both Brute Force Attack and Password Spray attacks can be stopped midway provided that there are related security policies in place. The 30 min gap if left out, the system will again lock down if a provision is made for that. Certain other things also can be applied, like adding time difference between logins on two user accounts. If it is a fraction of a second, increase timing for two user accounts to log in. Such policies help in alerting the administers who can then shut down the servers or lock them down so that no read-write operation happens on databases.

The first thing to protect your organization from Password Spray Attacks is to educate your employees about the types of social engineering attacks, phishing attacks, and the importance of passwords. That way employees won’t use any predictable passwords for their accounts. Another method is admins providing the users with strong passwords, explaining the need to be cautious so that they don’t note down the passwords and stick it to their computers.

There are some methods that help in identifying the vulnerabilities in your organizational systems. For example, if you are using Office 365 Enterprise, you can run Attack Simulator to know if any of your employees are using a weak password.

Read next: What is Domain Fronting?

Hugo Luiro

About the author

Olen laitteisto-insinööri ja ohjelmistokehittäjä, jolla on yli 10 vuoden kokemus Applen ja Googlen alustoista. Taitoni on tehokkaiden, käyttäjäystävällisten ratkaisujen kehittäminen vaikeisiin suunnitteluongelmiin. Minulla on kokemusta sekä MacOS- että iOS-laitteista sekä näppäimistön ja hiiren ohjaimista. Vapaa-ajallani tykkään uida, katsella tennistä ja kuunnella musiikkia.

Salasana Spray Attack -määrittely ja itsesi puolustaminen

Salasana Spray Attack Definition

Brute Force Attack vs Password Spray Attack

Suojautuminen salasanaspray-hyökkäyksiä vastaan^{(Password Spray Attacks)}

Password Spray Attack Definition and Defending yourself

Password Spray Attack Definition

Brute Force Attack vs Password Spray Attack

Protecting against Password Spray Attacks

Hugo Luiro

About the author

Related posts

Tämä ominaisuus vaatii irrotettavan tietovälineen - Salasanan palautusvirhe

Aseta salasanan vanhentumispäivä Microsoft-tilille ja paikalliselle tilille

Kuinka saada selain näyttämään tallennettu salasana tekstissä pisteiden sijaan

LessPass on ilmainen salasanageneraattori ja -hallintaohjelma

Bitwarden Review: Ilmainen avoimen lähdekoodin salasananhallinta Windows PC:lle

SafeInCloud Password Manager synkronoi tietokannan Cloud-tilien kanssa

Trend Micro Password Manager Windows 10 PC:lle

Onko salasanojen tallentaminen turvallista Chrome-, Firefox- tai Edge-selaimessa?

Palauta Windowsin salasana Palauta salasanani Home -sovelluksella ilmaiseksi

Kuinka luoda salasana Google Chromessa salasanageneraattorin avulla

KeeWeb on avoimen lähdekoodin cross-platform Password Manager -ohjelmisto

Dashlane Free: Automatisoi kirjautumisesi ja online-tapahtumasi

Parhaat ilmaiset online-salasanojen hallintaohjelmat - ovatko ne turvallisia?

Pakota käyttäjät vaihtamaan tilin salasana seuraavan kirjautumisen yhteydessä Windows 11/10:ssä

Ei voi kirjautua sisään Windows 11/10 | Windowsin kirjautumis- ja salasanaongelmat

LastPass-salasanojen vieminen CSV:hen

Brute Force Attacks - määritelmä ja ehkäisy

Paljasta salasana -painikkeen käyttöönotto tai poistaminen käytöstä Microsoft Edgessä

F-Secure KEY: Ilmainen Password Manager -ohjelmisto Windows 10:lle

Firefox Lockboxin avulla voit kuljettaa salasanojasi puhelimessasi

Salasana Spray Attack -määrittely ja itsesi puolustaminen

Salasana Spray Attack Definition

Brute Force Attack vs Password Spray Attack

Suojautuminen salasanaspray-hyökkäyksiä vastaan(Password Spray Attacks)

Password Spray Attack Definition and Defending yourself

Password Spray Attack Definition

Brute Force Attack vs Password Spray Attack

Protecting against Password Spray Attacks

Hugo Luiro

About the author

Related posts

Tämä ominaisuus vaatii irrotettavan tietovälineen - Salasanan palautusvirhe

Aseta salasanan vanhentumispäivä Microsoft-tilille ja paikalliselle tilille

Kuinka saada selain näyttämään tallennettu salasana tekstissä pisteiden sijaan

LessPass on ilmainen salasanageneraattori ja -hallintaohjelma

Bitwarden Review: Ilmainen avoimen lähdekoodin salasananhallinta Windows PC:lle

SafeInCloud Password Manager synkronoi tietokannan Cloud-tilien kanssa

Trend Micro Password Manager Windows 10 PC:lle

Onko salasanojen tallentaminen turvallista Chrome-, Firefox- tai Edge-selaimessa?

Palauta Windowsin salasana Palauta salasanani Home -sovelluksella ilmaiseksi

Kuinka luoda salasana Google Chromessa salasanageneraattorin avulla

KeeWeb on avoimen lähdekoodin cross-platform Password Manager -ohjelmisto

Dashlane Free: Automatisoi kirjautumisesi ja online-tapahtumasi

Parhaat ilmaiset online-salasanojen hallintaohjelmat - ovatko ne turvallisia?

Pakota käyttäjät vaihtamaan tilin salasana seuraavan kirjautumisen yhteydessä Windows 11/10:ssä

Ei voi kirjautua sisään Windows 11/10 | Windowsin kirjautumis- ja salasanaongelmat

LastPass-salasanojen vieminen CSV:hen

Brute Force Attacks - määritelmä ja ehkäisy

Paljasta salasana -painikkeen käyttöönotto tai poistaminen käytöstä Microsoft Edgessä

F-Secure KEY: Ilmainen Password Manager -ohjelmisto Windows 10:lle

Firefox Lockboxin avulla voit kuljettaa salasanojasi puhelimessasi

Suojautuminen salasanaspray-hyökkäyksiä vastaan^{(Password Spray Attacks)}