密码喷射和暴力攻击的解释

暴力强迫。密码喷洒。凭证填充。这些密码攻击之间的相似之处不仅仅在于其富有表现力的名称。在本文中，我们将研究每种技术的存在方式和原因，并探讨一些缓解这些技术的最佳实践。

什么是暴力攻击？

自密码出现以来，暴力攻击就一直存在。但它们到底是什么？如果攻击者可以访问提供登录名的服务，那么他们可以通过输入密码猜测、猜测密码、猜测密码来尝试猜测该登录的密码。它可能看起来有点像这样：

对身份验证端点的第一个猜测可能是：

用户名：[email protected]

密码：Summer2022！

如果不是这样，下一个猜测可能是：

用户名：[email protected]

密码：2022 年秋季！

正如您对这种成熟的密码攻击所期望的那样，大多数身份验证系统都对它们有很好的防御。对于 Active Directory，这些防御措施是在指定时间段内登录失败一定次数后暂时锁定帐户的策略。这极大地限制了攻击者在给定时间内可以做出的猜测数量。

但即使没有帐户锁定策略，这些类型的模式（一个又一个错误的密码在帐户上使用的速度与处理它们的速度一样快）也很容易使用大多数审核工具来检测。

考虑到对攻击者的这些限制，大多数成功的暴力攻击已经转移到“离线”，利用可以以非常高的速度一遍又一遍地尝试随机密码的系统，而无需与中央网络交互，从而触发帐户锁定策略，或被审计软件检测到。 “Kerberoasting”就是这种暴力攻击的一个例子。

为了成功攻击实时网络，攻击者通常需要找到更复杂的东西。

输入密码喷

什么是密码喷射？密码喷射是暴力攻击的一种形式。它依赖于这样一个事实：在侦察的早期阶段，攻击者可以使用任何 Active Directory 帐户来更好地了解目标环境并找出其弱点。

就像暴力攻击一样，密码喷射涉及攻击者尝试猜测密码。但与专注于单个帐户的暴力攻击不同，密码喷射攻击的目标是许多帐户。这是一个简单的例子：

对身份验证端点的第一个猜测可能是：

用户名：[email protected]

密码：Summer2022！

当失败时，下一个猜测可能是：

用户名：[email protected]

密码：Summer2022！

在实践中，对于攻击者来说，密码喷射比简单的暴力破解具有一些关键优势。

首先，它正在玩一个数字游戏，可以在一大群用户中尝试一组有限的“可能”密码。如果攻击者正在攻击一家总部位于明尼阿波利斯的公司，则可能不太可能有任何一个帐户拥有 V!kings2022 密码 - 但如果该公司足够大，则很有可能某人拥有该密码。

其次，组织规模越大，就越容易受到密码喷洒的影响。有了足够大的数据集，某人拥有易于猜到的密码的机会就会大大增加。组织规模越大，隐藏密码喷洒活动就越容易。

第三，通过审核日志“看到”密码喷洒活动变得更加困难。由于单个帐户不会一次又一次地验证失败，因此不会触发帐户锁定阈值。由于用户偶尔偷窃密码的情况很常见，因此密码喷洒很容易融入典型用户活动的背景噪音中。

攻击者在利用密码喷射时面临的一个挑战是他们需要一个用户名列表来进行喷射。但如果认为这一挑战能为目标组织提供任何真正的保护，那就错了。对于许多组织来说，员工的姓名不被视为高度受保护的信息，一旦攻击者找出用户名模式（即上面的名字首字母/姓氏），就不难制定出相当准确的用户列表来进行攻击。

近亲：撞库

撞库在很多方面与密码喷射相似。针对一长串帐户尝试一系列密码猜测。但撞库利用了许多用户对不同服务重复使用密码的事实，以增加攻击者猜测正确密码的机会。

用户名和密码组合列表经常出现在互联网上。也许配置不安全的论坛或电子商务网站的凭据以易于破解的格式（甚至以明文形式存储！）当攻击者获得对此类网站的访问权限时，他们可能会将安全性较差的凭据转储到攻击者可以自由访问的网站上。或者他们可能会出售凭证文件。

拥有包含大量用户名和密码组合的文件的攻击者可以查找与他们要攻击的组织相对应的用户名。因此，如果我想在 vintonlabs.net 中站稳脚跟，我可以搜索这些凭证转储文件，以查找具有 vintonlabs.net 电子邮件地址的任何条目。

作为攻击者，我的下一步是在我想要攻击的组织上尝试这些用户名和密码组合（及其派生！），因为我知道用户经常在站点之间重复使用良好的密码。

防止密码喷洒、撞库和暴力攻击

鉴于这些技术经过验证的有效性，防御它们的最有效方法是什么？

幸运的是，由于这些技术密切相关，因此以下三条建议可以帮助减轻每种技术的风险。

1. 降低密码的重要性

我们描述的所有三种密码攻击有什么共同点？他们专注于密码！

让您的组织不易受到此类攻击的一个好方法是降低个人密码的重要性。

最常见的方法是在密码中添加第二个因素。有很多不同的双因素身份验证系统，从 SMS 消息（这不是很好），到身份验证器应用程序，再到 FIDO 密钥。

Azure AD 等现代身份验证平台还提供“无密码”登录。在这些系统中，访问设备变得非常重要。使用正确注册的设备与本地 PIN 或生物识别标识符的组合来代替密码来访问组织数据和系统。

迁移到双因素或无密码系统存在一些挑战。首先，密码对于攻击者来说仍然有用。它们通常是两个身份验证因素之一，如果攻击者能够获得密码，他们就可以转向社交攻击以获得第二个因素。其次，大多数组织仍然需要利用没有内置双因素身份验证的旧身份验证系统（例如 Active Directory）。这意味着利用第三方工具，这可能会带来一系列实施和兼容性挑战。

2. 收紧端点

为了使暴力破解、密码喷射或撞库攻击获得成功，攻击者需要能够使用正确的身份验证端点。理想情况下，攻击者将寻找可以编写脚本并验证用户名和密码是否有效的端点。公开某种类型的 Active Directory 身份验证的网站非常适合此目的。

不要让攻击者轻易得逞。定期审核所有接触点，如果可能的话，直接或通过联合向它们添加双因素身份验证。

这可能很难做到，对于可能拥有许多面向员工、承包商、客户和合作伙伴的互联网存在的大型组织来说，这就更难了。

3. 使用更智能的审核工具

许多现代审计工具使得从审计静态中获取信号变得更加容易。他们可以看到，虽然任何个人帐户可能不会出现异常数量的身份验证失败，但整个组织却。

为此，审核工具必须能够自动建立“正常”活动的基线，以便发现“异常”活动。毕竟，“典型”不仅会不断演变，而且会随着一天中的不同时间和一周中的不同日子而发生很大变化。

如果您的组织同时使用多个目录（例如 Azure Active Directory 和 Active Directory），那么您的审核工具最好能够考虑这两个目录的行为。如果没有，您可能会发现自己处于一个存在严重盲点的情况。

概括

我希望这篇文章有助于巩固暴力攻击、密码喷射攻击和撞库攻击的概念。重要的是要考虑防御它们，不是一次性的缓解措施，而是不断重新审视和分层使用的技术。