Hoe verschilt wachtwoordspray van inloggegevens?

Credential stuffing probeert gelekte e-mails en wachtwoorden uit gehackte databases te paren. Wachtwoordspray probeert algemene wachtwoorden op basis van een opgesomde gebruikersnaamlijst. Beide zijn op inloggegevens gebaseerde aanvallen op grote schaal; het verschil is de bron van de kandidaat-wachtwoorden.

Voorkomt het uitsluitingsbeleid van mijn bedrijf spray?

Uitsluiten per account helpt niet, omdat spray elk account slechts één of twee keer probeert. Snelheidsbeperking voor de hele organisatie en patroongebaseerde detectie zijn de dingen die spray opvangen – en deze moeten expliciet worden geconfigureerd.

Waarom is MFA de standaardverdediging?

MFA verandert de vergelijking volledig. Zelfs als het wachtwoord wordt geraden, blokkeert de tweede factor de login. Hardware-key MFA is in wezen onkraakbaar door geautomatiseerd spuiten. De verschuiving naar MFA + wachtwoordsleutels is wat het succespercentage van deze aanvallen het meest verlaagt.

Neemt het aantal sprayaanvallen af?

Het volume is hoog, maar het succespercentage neemt af naarmate de MFB zich verspreidt. Tegenstanders die geen accounts kunnen krijgen via spray-pivot naar phishing en social engineering. De categorie verdwijnt niet; de verdediging is meestal aan het winnen.

Hoe zit het met API-gerichte spray?

Hetzelfde patroon, toegepast op API-eindpunten met basisauthenticatie of op tokens gebaseerde authenticatie. Minder klassieke wachtwoordspray, meer brute forcering van API-sleutels of sessie-token-gokken. De verdedigingen zijn vergelijkbaar: snelheidsbeperking, detectie van afwijkingen en het vervangen van statische inloggegevens door roterende tokens.

Wachtwoordspray-aanvallen uitgelegd: één wachtwoord, veel accounts

De meeste aanvallen op accountovername zijn niet geavanceerd. Veel aanvallers kennen uw specifieke wachtwoord niet; ze proberen gewone accounts uit tegen miljoenen accounts en oogsten wat werkt. Wachtwoordspray-aanvallen zijn het tegenovergestelde van het bruut forceren van één account: ze verspreiden een klein aantal algemene wachtwoorden over veel gebruikersnamen. Ze werken verrassend vaak.

De volledige artikeltekst vindt u hieronder in het Engels.

Wachtwoordspray is het aanvalspatroon waarbij een aanvaller hetzelfde algemene wachtwoord (of een kleine reeks algemene wachtwoorden) probeert tegen een grote lijst met accounts. In tegenstelling tot brute kracht tegen één account (wat door het lockout-beleid wordt gedetecteerd en gestopt) worden met wachtwoordspray blokkeringen per account voorkomen door elk account slechts één of twee keer te proberen met elk kandidaat-wachtwoord.

De economie

Als 0,5% van de gebruikers in een gemiddelde organisatie 'Password123' of seizoensvarianten gebruikt, zal een aanvaller met 10.000 geldige gebruikersnamen grofweg 50 succesvolle logins vinden door slechts dat ene wachtwoord tegen het geheel te proberen. lijst. De kosten zijn laag; de beloning is echte accounttoegang. Wachtwoordspray-aanvallen zijn een primaire vector voor initiële toegang voor inbraken op basis van inloggegevens.

De meest voorkomende kandidaten

Aanvallers halen niet uit willekeurige woordenlijsten. Ze gebruiken lijsten met wachtwoorden die bij inbreuken zijn aangetroffen, gerangschikt op frequentie:

Opeenvolgende wachtwoorden ("Wachtwoord1", "Wachtwoord2", "Wachtwoord123", "Welkom1")
Seizoenspatronen ("Lente2026!", "Zomer2026!")
Bedrijfspatronen ("Acme123", "Acme2026")
Veelgebruikte woorden met voorspelbare vervangingen ("P@ssw0rd!")
Sportteamnamen + jaar + achtervoegsel

De top 50 wachtwoorden uit inbreukgegevens bestrijken waarschijnlijk 5-10% van de echte gebruikers in elke grote organisatie. De top 1.000 omvat nog veel meer.

Hoe aanvallers uw gebruikersnaam kennen

Gebruikersnamenlijsten zijn afkomstig van:

LinkedIn scraping (namen van werknemers + het e-mailformaat van het bedrijf = gebruikersnamen)
Eerdere datalekken die openbaar werden gemaakt e-mails
OSINT tegen de doelorganisatie
Kwetsbaarheden bij klantgerichte gebruikersopsomming in de eigen systemen van het doel
Gissen naar e-mailformaten: veel bedrijven gebruiken voorspelbare patronen (voornaam.achternaam@, flitsnaam@, etc.)

Waar wachtwoordspray slaagt

Microsoft Exchange / Office 365 / Outlook Web Access — het meest gerichte oppervlak. Authenticatie-eindpunten blootgesteld aan internet.
VPN-portals – Cisco AnyConnect, Pulse Secure, Fortinet, etc. Gecompromitteerde inloggegevens geven toegang op netwerkniveau.
Microsoft 365 IMAP/SMTP legacy-authenticatie – omzeilt MFA in veel gevallen configuraties.
Citrix, RDP-gateways — populaire doelen, vooral tijdens het COVID-tijdperk van thuiswerken.
Cloud-serviceconsoles — AWS, Azure, GCP-authenticatie voor IAM-gebruikers.

Detectie patronen

Wachtwoordspray heeft karakteristieke handtekeningen:

Veel verschillende gebruikersnamen geprobeerd binnen een kort tijdsbestek vanaf één IP
Weinig inlogpogingen per gebruikersnaam (meestal één of twee)
Gedistribueerde IP's over veel regio's (botnetgestuurde spray)
Mislukte logins geconcentreerd op pogingen met een gemeenschappelijk wachtwoord

Moderne identiteitsproviders (Microsoft Entra ID, Okta, Google Workspace) omvatten beleid voor detectie en voorwaardelijke toegang dat op basis van deze patronen beperkingen oplegt of blokkeert. De verdediging is automatisch; je hoeft het alleen maar aan te zetten.

Defenses

MFA op alles. Zelfs als het wachtwoord te raden is, blokkeert de tweede factor de overname. Hardware-key MFA verslaat het volledig; zelfs SMS-gebaseerde 2FA stopt de meeste geautomatiseerde spray-pogingen.
Wachtwoordcomplexiteit met minimumlengtes. Een minimum van 14+ tekens dwingt gebruikers uit de spray-kwetsbare gemeenschappelijke wachtwoordpool.
Lijsten met verboden wachtwoorden. Met Microsoft Entra en anderen kunt u specifieke algemene wachtwoorden weigeren. Nog beter: controleer kandidaat-wachtwoorden op inbreukgegevens via HaveIBeenPwned's Pwned Passwords API (k-anonymous lookup).
Adaptieve authenticatie. Logins vanaf ongebruikelijke locaties, ongebruikelijke apparaten of na verdachte patronen vereisen aanvullende verificatie.
Schakel oudere authenticatieprotocollen uit. IMAP/SMTP/POP die MFA niet afdwingen. Moderne protocollen gebruiken OAuth2 met MFA-ondersteuning; oudere versies doen dat niet.
Snelheidslimiet op accountniveau die spraybewust is. Accounts vergrendelen na een klein aantal mislukte pogingen; waarschuw beveiliging voor patronen in veel accounts.
Passkeys. Elimineer het wachtwoord als aanvalsoppervlak volledig.

Wat dit betekent voor gebruikers

Voor individuen:

Gebruik geen wachtwoorden die voorkomen in HaveIBeenPwned. Controleer uw bestaande wachtwoorden.
Gebruik een wachtwoordbeheerder; laat het 16-32 willekeurige tekens per site genereren.
Schakel MFA in voor elk belangrijk account, hardwaresleutel waar ondersteund.
Schakel over naar wachtwoordsleutels wanneer aangeboden.

Voor organisaties:

Lijsten met verboden wachtwoorden die zijn gekoppeld aan de naam van uw organisatie en seizoensgebonden varianten
Beleid voor voorwaardelijke toegang dat sproeipatronen detecteert en erop reageert
MFA-handhaving op elk account, met hardwaresleutels voor beheerders
Periodieke audits op wachtwoordsterkte

Veelgestelde vragen

Hoe verschilt wachtwoordspray van inloggegevens?: Credential stuffing probeert gelekte e-mails en wachtwoorden uit gehackte databases te paren. Wachtwoordspray probeert algemene wachtwoorden op basis van een opgesomde gebruikersnaamlijst. Beide zijn op inloggegevens gebaseerde aanvallen op grote schaal; het verschil is de bron van de kandidaat-wachtwoorden.
Voorkomt het uitsluitingsbeleid van mijn bedrijf spray?: Uitsluiten per account helpt niet, omdat spray elk account slechts één of twee keer probeert. Snelheidsbeperking voor de hele organisatie en patroongebaseerde detectie zijn de dingen die spray opvangen – en deze moeten expliciet worden geconfigureerd.
Waarom is MFA de standaardverdediging?: MFA verandert de vergelijking volledig. Zelfs als het wachtwoord wordt geraden, blokkeert de tweede factor de login. Hardware-key MFA is in wezen onkraakbaar door geautomatiseerd spuiten. De verschuiving naar MFA + wachtwoordsleutels is wat het succespercentage van deze aanvallen het meest verlaagt.
Neemt het aantal sprayaanvallen af?: Het volume is hoog, maar het succespercentage neemt af naarmate de MFB zich verspreidt. Tegenstanders die geen accounts kunnen krijgen via spray-pivot naar phishing en social engineering. De categorie verdwijnt niet; de verdediging is meestal aan het winnen.
Hoe zit het met API-gerichte spray?: Hetzelfde patroon, toegepast op API-eindpunten met basisauthenticatie of op tokens gebaseerde authenticatie. Minder klassieke wachtwoordspray, meer brute forcering van API-sleutels of sessie-token-gokken. De verdedigingen zijn vergelijkbaar: snelheidsbeperking, detectie van afwijkingen en het vervangen van statische inloggegevens door roterende tokens.