Slaptažodžio purškimas prieš žiaurią jėgą: skirtumai ir prevencija

Išsamus prevencijos vadovas nuo bet kokių slaptažodžių atakų!

Slaptažodžio vagystė yra vienas iš paprasčiausių būdų, kaip blogas veikėjas gali gauti prieigą prie jūsų asmeninių duomenų. Kiekvieną dieną matome pranešimus apie įsilaužimus į socialinės žiniasklaidos paskyras (ar tai būtų „Instagram“, „Facebook“ ar „Snapchat“) ar kitas svetaines. Užpuolikai naudoja skirtingus metodus, kad gautų prieigą prie jūsų slaptažodžio, o šiandien mes apžvelgsime slaptažodžio purškimą ir brutą jėgą.

Nors platformos sukūrė protokolus, kad pagerintų saugumą ir sumažintų riziką, įsilaužėliams visada pavyksta nustatyti spragas ir pažeidžiamumą, kad galėtų jomis pasinaudoti. Tačiau yra keletas priemonių, kurios apsaugos jus nuo slaptažodžio išpurškimo ir brutalios jėgos atakų.

Dauguma jų yra lengvai įgyvendinami, ir manome, kad jie yra būtini gerai internetinei higienai.

Tiems, kurie domisi, kas yra žiaurios jėgos ataka, tai yra technika, kurią įsilaužėliai naudoja norėdami bombarduoti autentifikavimo serverį tam tikrais paskyros slaptažodžiais. Jie, tarkime, prasideda nuo paprastesnių 123456 arba slaptažodis123ir pereikite prie sudėtingesnių slaptažodžių, kol bus rastas tikrasis kredencialas.

Piratai iš esmės naudoja visas įmanomas simbolių kombinacijas, o tai pasiekiama naudojant specializuotų įrankių rinkinį.

Tačiau yra ir minusas. Naudojant brutalios jėgos atakas, dažnai reikia daug laiko nustatyti teisingą slaptažodį. Be to, jei svetainės turi papildomų saugumo priemonių, tarkime, blokuoja paskyras po daugybės neteisingų slaptažodžių, įsilaužėliams sunku panaudoti žiaurią jėgą.

Nors keli bandymai kas valandą nesuaktyvins paskyros blokavimo. Atminkite, kad kaip ir svetainės taiko saugos priemones, įsilaužėliai taip pat sugalvoja gudrybių, kaip jas apeiti arba rasti pažeidžiamumą.

Kalbant apie slaptažodžių išpurškimą, tai yra žiaurios jėgos atakos rūšis, kai įsilaužėliai naudoja tą patį slaptažodį skirtingose ​​paskyrose, užuot taikę į paskyrą su daugybe slaptažodžių derinių.

Tai padeda pašalinti įprastą problemą, su kuria susiduriama per tipišką brutalios jėgos ataką – paskyros blokavimą. Labai tikėtina, kad slaptažodžio išpurškimas nesukels įtarimų ir dažnai būna sėkmingesnis nei brutali jėga.

Paprastai jis naudojamas, kai administratoriai nustato numatytąjį slaptažodį. Taigi įsilaužėliai, įsigiję numatytąjį slaptažodį, išbandys jį skirtingose ​​paskyrose, o naudotojai, kurie savo nepakeitė, pirmieji praras prieigą prie paskyros.

Kuo Slaptažodžio purškimas skiriasi nuo Brute Force?

Brutali jėga	Slaptažodžio purškimas
Apibrėžimas	Skirtingų slaptažodžių derinių naudojimas tai pačiai paskyrai	Skirtingoms paskyroms naudojamas tas pats slaptažodžių derinys
Taikymas	Veikia serveriuose su minimaliais saugumo protokolais	Naudojamas, kai daug vartotojų naudojasi tuo pačiu slaptažodžiu
Pavyzdžiai	„Dunkin Donuts“ (2015 m.), „Alibaba“ (2016 m.)	„SolarWinds“ (2021 m.)
Argumentai "už"	Lengviau atlikti	Tai leidžia išvengti paskyros blokavimo ir nekelia įtarimų
Minusai	Tai užtrunka daugiau laiko, todėl paskyra gali būti užblokuota, o tai neigiamai veikia visas pastangas	Dažnai greitesnis ir sėkmingesnis

Kaip apsisaugoti nuo žiaurios jėgos atakų slaptažodžiu?

Brutalios jėgos atakos veikia tada, kai taikomos minimalios saugumo priemonės arba identifikuojama spraga. Jei jų nebūtų, įsilaužėliams būtų sunku panaudoti žiaurią jėgą, kad išsiaiškintų teisingus prisijungimo duomenis.

Štai keli patarimai, kurie padėtų serverio administratoriams ir vartotojams išvengti žiaurios jėgos atakų:

Patarimai administratoriams

• Blokuoti paskyras po kelių nesėkmingų bandymų: paskyros blokavimas yra patikimas būdas sušvelninti žiaurios jėgos ataką. Tai gali būti laikina arba nuolatinė, bet pirmasis yra prasmingesnis. Tai neleidžia įsilaužėliams bombarduoti serverių ir vartotojai nepraranda prieigos prie paskyros.
• Naudokite papildomas autentifikavimo priemones: Daugelis administratorių nori pasikliauti papildomomis autentifikavimo priemonėmis, tarkime, pateikti saugos klausimą, kuris iš pradžių buvo sukonfigūruotas po keleto nesėkmingų bandymų prisijungti. Tai sustabdys žiaurios jėgos puolimą.
• Užklausų iš konkrečių IP adresų blokavimas: Kai svetainė susiduria su nuolatinėmis atakomis iš konkretaus IP adreso ar grupės, dažniausiai jas blokuoti yra paprasčiausias sprendimas. Nors galite užblokuoti kelis teisėtus vartotojus, tai bent jau apsaugos kitus.
• Naudokite skirtingus prisijungimo URL adresus: Kitas ekspertų rekomenduojamas patarimas – surūšiuoti vartotojus į paketus ir kiekvienam sukurti skirtingus prisijungimo URL adresus. Tokiu būdu, net jei konkretus serveris susiduria su žiaurios jėgos ataka, kiti iš esmės išlieka saugūs.
• Pridėti CAPTCHA: CAPTCHA yra veiksminga priemonė, padedanti atskirti įprastus vartotojus nuo automatinio prisijungimo. Pateikus CAPTCHA, įsilaužimo įrankis nesugebės veikti ir taip sustabdys žiaurios jėgos ataką.

Patarimai vartotojams

• Sukurkite stipresnius slaptažodžius: Negalime pabrėžti, kaip svarbu sukurti stipresnius slaptažodžius. Nenaudokite paprastesnių, pasakykite savo vardą ar net dažniausiai naudojamus slaptažodžius. Stipresnius slaptažodžius nulaužti gali prireikti metų. Geras pasirinkimas yra naudoti a patikimas slaptažodžių tvarkytuvas.
• Ilgesni slaptažodžiai nei sudėtingi: Remiantis naujausiais tyrimais, naudojant brutalią jėgą daug sunkiau nustatyti ilgesnį slaptažodį nei trumpesnį, bet sudėtingesnį. Taigi, eikite su ilgesnėmis frazėmis. Ne tik pridėkite prie jo skaičiaus ar simbolio.
• Nustatykite 2-FA: Kai įmanoma, svarbu nustatyti kelių veiksnių autentifikavimą, nes tai pašalina pernelyg didelį pasitikėjimą slaptažodžiais. Tokiu būdu, net jei kas nors sugebės gauti slaptažodį, jis negalės prisijungti be papildomo autentifikavimo.
• Reguliariai keiskite slaptažodį: Kitas patarimas – reguliariai keisti paskyros slaptažodį, geriausia kas kelis mėnesius. Ir nenaudokite to paties slaptažodžio daugiau nei vienai paskyrai. Be to, jei kuris nors iš jūsų slaptažodžių nutekėjo, nedelsdami pakeiskite jį.

Skaitykite daugiau apie šią temą

• Kas yra portfelio piktograma kraštinėje naršyklėje?
• Kas yra Razer Synapse ir kaip tinkamai ją naudoti?

Kaip apsisaugoti nuo slaptažodžio purškimo atakos?

Kalbant apie Brute Force vs Password Spraying, prevencinės priemonės išlieka beveik tokios pačios. Nors pastarasis veikia kitaip, gali padėti keli papildomi patarimai.

• Priverskite vartotojus pakeisti slaptažodį po pradinio prisijungimo: Kad sušvelnintų slaptažodžių išpurškimo problemą, administratoriai privalo priversti vartotojus pakeisti pradinius slaptažodžius. Kol visi vartotojai turės skirtingus slaptažodžius, ataka nebus sėkminga.
• Leisti vartotojams įklijuoti slaptažodžius: Daugeliui sunku įvesti sudėtingą slaptažodį rankiniu būdu. Remiantis ataskaitomis, vartotojai linkę kurti sudėtingesnius slaptažodžius, kai jiems leidžiama juos įklijuoti arba automatiškai įvesti. Taigi įsitikinkite, kad slaptažodžio laukas siūlo funkcionalumą.
• Neverskite vartotojų periodiškai keisti slaptažodžių: Vartotojai laikosi šablono, kai prašoma periodiškai pakeisti slaptažodį. Ir įsilaužėliai gali tai lengvai nustatyti. Taigi svarbu atsisakyti praktikos ir leisti vartotojams iš pirmo karto nustatyti sudėtingą slaptažodį.
• Konfigūruokite Rodyti slaptažodį funkcija: Kita funkcija, raginanti vartotojus sukurti sudėtingus slaptažodžius ir užkertanti kelią autentiškam nesėkmingam prisijungimui, yra tada, kai jie gali peržiūrėti slaptažodį prieš tęsdami. Taigi, įsitikinkite, kad tai nustatėte.

Dabar, kai žinote daugiau apie slaptažodžių naudojimą ir brutalios jėgos atakas, atminkite, kad geriausia praktika yra sukurti stipresnius slaptažodžius, neatsižvelgiant į metodą.

Vien tai gali užkirsti kelią ir užblokuoti daugumą jūsų paskyrų pažeidžiamumų. Suporuokite tai su an veiksminga slaptažodžių tvarkyklė, o tai dar labiau sustiprins jūsų saugumą ir lengvesnę prieigą.

Turėtumėte tai žinoti kasdien įsilaužiama neįtikėtinai daug slaptažodžių, o vienintelis būdas apsaugoti savo duomenis yra tinkama internetinė higiena ir geros prevencinės priemonės.

Jei turite kitų patarimų, kuriais norite pasidalinti su bendruomene, palikite juos toliau pateiktame komentarų skyriuje.