这段时间密码喷洒攻击(Password Spray)的案例非常多,其中最典型的案例就是早前微软部分员工和高管遭到密码喷洒攻击并被黑客集团成功获得了账号权限引起安全事故。
密码喷洒攻击从某种意义上说也算是一种暴力破解,只不过并不是针对某一个账户进行暴力破解,而是针对某一类登录系统进行暴力破解。
暴力破解指的是通过生成大量密码高频次尝试登录从而碰撞获得正确密码,但现在安全系统通常检测到几次错误登录后就会暂时锁定账户,所以暴力破解逐渐变得不适用。
而密码喷洒攻击通常针对的是特定系统,其原理是这样的:
黑客首先通过各种渠道收集大量的用户账户信息例如电子邮件地址,接着收集并整理一些常见的密码例如 Password12345。
完成准备工作后黑客会使用这个密码批量登录大量账号,对于单个账号而言这就是一次普通的错误登录,这并不会触发安全系统的警报。
但如果在几十万乃至上百万个账号里进行登录,总有一些账号可能使用的是这种常见的弱密码,因此黑客可以成功登录某些账号获得权限。
这种攻击方式类似于使用洒水壶给草地浇水,所以被业界称为密码喷洒攻击,这种攻击方式并不算是新的,但越来越流行了。
如何防范和对抗密码喷洒攻击?
要说防范这类攻击其实说到底无非就三种,包括尽可能不要让自己的账号泄露 (对用户来说这可能比较难)、不要使用弱密码以及开启 MFA 多因素认证功能。
其实最有效的方法还是开启 MFA 多因素认证,这种情况下即使黑客获得密码也无济于事,因为没有 MFA 的验证码或确认动作依然无非登录。
当然不要使用弱密码也是老生常谈的东西了,使用那种简单并且容易猜测的密码,那么总会有个时候会被破解影响账号安全。
还有个是疲劳攻击(MFA Fatigue Attack):
这种攻击目前来说多发于微软账号,所谓疲劳攻击指的是用户开启 MFA 后黑客不停地发出登录请求,这种情况下用户可能不停地收到通知以及可能会点拒绝。
当用户不停收到通知后最终可能会疲劳以及判断力下降所以点同意或批准,这种情况下黑客就得逞了,可以成功登录账户。
微软针对 MFA 疲劳攻击已经增强了策略,现在有密码登录或无密码登录请求 MFA 时都需要点击对应的数字,用户在不知道数字的情况下疲劳也无法让黑客登录。
其他账号系统的疲劳攻击暂时还未听说,不过这可能也是未来的一种流行趋势,所以各位碰到不停地收到登录请求时记得及时修改密码。
