Salasana Spray Attack -määrittely ja itsesi puolustaminen
Kaksi yleisimmin käytettyä tapaa päästä luvattomille tileille ovat (a) Brute Force Attack ja (b) Password Spray Attack . Olemme selittäneet Brute Force Attacksin(Brute Force Attacks) aiemmin. Tämä artikkeli keskittyy Password Spray Attackiin(Password Spray Attack) – mitä se on ja kuinka suojautua tällaisilta hyökkäyksiltä.
Salasana Spray Attack Definition
Password Spray Attack on täysin vastakohta Brute Force Attackille(Brute Force Attack) . Brute Force -hyökkäyksissä hakkerit valitsevat haavoittuvan tunnuksen ja syöttävät salasanoja peräkkäin toivoen, että jokin salasana päästäisi heidät sisään. Pohjimmiltaan (Basically)Brute Force on monia salasanoja , joita käytetään vain yhteen tunnukseen.
Mitä tulee Password Spray -hyökkäyksiin, useisiin (Password Spray)käyttäjätunnuksiin(IDs) käytetään yhtä salasanaa, jotta ainakin yksi käyttäjätunnus vaarantuu. Password Spray -hyökkäyksiä varten hakkerit keräävät useita käyttäjätunnuksia käyttämällä(IDs) manipulointia tai(social engineering) muita tietojenkalastelumenetelmiä(phishing methods) . Usein käy niin, että ainakin yksi käyttäjistä käyttää yksinkertaista salasanaa, kuten 12345678 tai jopa [email protected] . Tätä haavoittuvuutta (tai tiedon puutetta vahvojen salasanojen luomisesta(create strong passwords) ) hyödynnetään Password Spray Attacksissa(Password Spray Attacks) .
Password Spray Attackissa(Password Spray Attack) hakkeri käyttäisi huolellisesti laadittua salasanaa kaikille keräämilleen käyttäjätunnuksille(IDs) . Hyvällä tuurilla hakkeri voi päästä yhdelle tilille, josta hän voi tunkeutua edelleen tietokoneverkkoon.
Password Spray Attack voidaan siis määritellä käyttämällä samaa salasanaa useille organisaation käyttäjätileille luvattoman pääsyn turvaamiseksi yhdelle näistä tileistä.(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)
Brute Force Attack vs Password Spray Attack
Brute Force Attacksin(Brute Force Attacks) ongelmana on, että järjestelmät voidaan lukita tietyn yrityksen jälkeen eri salasanoilla. Jos esimerkiksi määrität palvelimen hyväksymään vain kolme yritystä, muuten lukitsee järjestelmän, johon kirjautuminen tapahtuu, järjestelmä lukittuu vain kolmen virheellisen salasanan vuoksi. Jotkut organisaatiot sallivat kolme, kun taas toiset sallivat jopa kymmenen virheellistä yritystä. Monet verkkosivustot käyttävät tätä lukitusmenetelmää nykyään. Tämä varotoimenpide on ongelma Brute Force Attacksissa(Brute Force Attacks) , koska järjestelmän lukitus varoittaa järjestelmänvalvojia hyökkäyksestä.
Tämän kiertämiseksi luotiin ajatus käyttäjätunnusten keräämisestä ja mahdollisten salasanojen käyttämisestä niihin. (IDs)Myös Password Spray Attackissa(Password Spray Attack) hakkerit noudattavat tiettyjä varotoimia . Jos he esimerkiksi yrittivät käyttää salasanaa1 kaikille käyttäjätileille, he eivät ala käyttää salasanaa2 näillä tileillä pian ensimmäisen kierroksen jälkeen. He jättävät vähintään 30 minuutin ajanjakson hakkerointiyritysten kesken.
Suojautuminen salasanaspray-hyökkäyksiä vastaan(Password Spray Attacks)
Sekä Brute Force Attack- että Password Spray -hyökkäykset voidaan pysäyttää puolivälissä edellyttäen, että niihin liittyvät suojauskäytännöt ovat käytössä. Jos 30 minuutin tauko jätetään pois, järjestelmä lukittuu uudelleen, jos siihen varataan. Myös tiettyjä muita asioita voidaan soveltaa, kuten aikaeron lisääminen kahden käyttäjätilin kirjautumisten välillä. Jos se on sekunnin murto-osa, lisää kahden käyttäjätilin kirjautumisaikaa. Tällaiset käytännöt auttavat hälyttämään järjestelmänvalvojia, jotka voivat sitten sulkea palvelimet tai lukita ne, jotta tietokannassa ei tapahdu luku- ja kirjoitustoimintoja.
Ensimmäinen asia, joka suojaa organisaatiotasi Password Spray Attackilta(Password Spray Attacks) , on kouluttaa työntekijöitäsi manipulointihyökkäyksistä, tietojenkalasteluhyökkäyksistä ja salasanojen tärkeydestä. Näin työntekijät eivät käytä tililleen ennakoitavissa olevia salasanoja. Toinen tapa on järjestelmänvalvojien antaminen käyttäjille vahvoilla salasanoilla, mikä selittää, että heidän on oltava varovaisia, jotta he eivät kirjoita salasanoja muistiin ja kiinnitä niitä tietokoneisiinsa.
On olemassa joitakin menetelmiä, jotka auttavat tunnistamaan organisaatiojärjestelmien haavoittuvuudet. Jos käytät esimerkiksi Office 365 Enterprisea(Enterprise) , voit suorittaa Attack Simulatorin saadaksesi selville, käyttääkö joku työntekijöistäsi heikkoa salasanaa.
Lue seuraavaksi(Read next) : Mikä on Domain Fronting ?
Related posts
Tämä ominaisuus vaatii irrotettavan tietovälineen - Salasanan palautusvirhe
Aseta salasanan vanhentumispäivä Microsoft-tilille ja paikalliselle tilille
Kuinka saada selain näyttämään tallennettu salasana tekstissä pisteiden sijaan
LessPass on ilmainen salasanageneraattori ja -hallintaohjelma
Bitwarden Review: Ilmainen avoimen lähdekoodin salasananhallinta Windows PC:lle
SafeInCloud Password Manager synkronoi tietokannan Cloud-tilien kanssa
Trend Micro Password Manager Windows 10 PC:lle
Onko salasanojen tallentaminen turvallista Chrome-, Firefox- tai Edge-selaimessa?
Palauta Windowsin salasana Palauta salasanani Home -sovelluksella ilmaiseksi
Kuinka luoda salasana Google Chromessa salasanageneraattorin avulla
KeeWeb on avoimen lähdekoodin cross-platform Password Manager -ohjelmisto
Dashlane Free: Automatisoi kirjautumisesi ja online-tapahtumasi
Parhaat ilmaiset online-salasanojen hallintaohjelmat - ovatko ne turvallisia?
Pakota käyttäjät vaihtamaan tilin salasana seuraavan kirjautumisen yhteydessä Windows 11/10:ssä
Ei voi kirjautua sisään Windows 11/10 | Windowsin kirjautumis- ja salasanaongelmat
LastPass-salasanojen vieminen CSV:hen
Brute Force Attacks - määritelmä ja ehkäisy
Paljasta salasana -painikkeen käyttöönotto tai poistaminen käytöstä Microsoft Edgessä
F-Secure KEY: Ilmainen Password Manager -ohjelmisto Windows 10:lle
Firefox Lockboxin avulla voit kuljettaa salasanojasi puhelimessasi