Welcome2026!1 passworduser1@acme.com user2@acme.com user3@acme.com user4@acme.com user5@acme.com user6@acme.com one match → access

Atacurile de pulverizare a parolei

11 min citireSecuritate

Majoritatea atacurilor de preluare a conturilor nu sunt sofisticate. Mulți atacatori nu vă cunosc parola specifică; ei încearcă cele comune împotriva a milioane de conturi și recoltează orice funcționează. Atacurile de pulverizare a parolelor sunt inversul forței brute pe un singur cont - răspândesc un număr mic de parole comune în mai multe nume de utilizator. Lucrează surprinzător de des.

Întregul articol al articolului este oferit în limba engleză mai jos.

Password spray este modelul de atac în care un atacator încearcă aceeași parolă comună (sau un set mic de parole comune) împotriva unei liste mari de conturi. Spre deosebire de forța brută împotriva unui singur cont - care politicile de blocare detectează și opresc - pulverizarea parolelor evită blocările per cont încercând fiecare cont doar o dată sau de două ori cu fiecare parolă candidată. 50 de autentificări reușite încercând doar acea parolă în întreaga listă. Costul este mic; recompensa este accesul real la cont. Atacurile prin pulverizarea parolelor sunt un vector primar de acces inițial pentru intruziunile bazate pe acreditări.

Candidații obișnuiți

Atacatorii nu iau din listele aleatorii de cuvinte. Ei folosesc liste de parole văzute în încălcări, clasificate după frecvență:

  • Parole secvențiale ("Parola1", "Parola2", "Parola123", "Bun venit1")
  • Modele sezoniere ("Primăvara2026!" „Vara2026!”)
  • Modele denumite de companie („Acme123”, „Acme2026”)
  • Cuvinte uzuale cu înlocuiri previzibile („P@ssw0rd!”)
  • Numele echipelor sportive + anul + parola de la sufixul de top XXPLZPLZ2XX PLZ20X5 datele acoperă probabil 5-10% dintre utilizatorii reali din orice organizație mare. Primele 1.000 acoperă mult mai multe.

    Cum vă cunosc atacatorii numele de utilizator

    listele de nume de utilizator provin din:

    • LinkedIn scraping (numele angajaților + formatul de e-mail al companiei = nume de utilizator)

      • LinkedIn scraping e-mailuri
      • OSINT împotriva organizației țintă
      • Vulnerabilități de enumerare a utilizatorilor orientate către client în sistemele proprii ale țintei
      • Eghicirea formatului de e-mail — multe companii folosesc modele previzibile (prenume.nume@, nume@, etc.) reușește
        • Microsoft Exchange / Office 365 / Outlook Web Access — cea mai vizată suprafață. Puncte terminale de autentificare expuse internetului.
        • VPN Portaluri — Cisco AnyConnect, Pulse Secure, Fortinet etc. Acreditările compromise oferă acces la nivel de rețea. în multe configurații.
        • Citrix, gateway-uri RDP — ținte populare, în special în perioada de lucru de acasă COVID.
        • Console de servicii cloud — AWS, Azure, autentificare GCP pentru IAM utilizatori.

        Modele de detectare

        Sprayul pentru parole are semnături caracteristice:

        • Multe nume de utilizator distincte au fost încercate într-o fereastră scurtă de la un IP
        • Puține încercări de conectare pentru un nume de utilizator sau XXPLZ77 (distribuit) IP-urile din mai multe regiuni (spray bazat pe botnet)
        • Conectările eșuate concentrate pe încercări de parole comune

        Furnizorii de identitate moderni (Microsoft Entra ID, Okta, Google Workspace) includ politici de detectare și acces condiționat care limitează sau blochează pe baza acestor modele. Apărarea este automată; trebuie doar să fie pornit.

        Defenses

        • MFA pe tot. Chiar dacă parola este ghicibilă prin pulverizare, al doilea factor blochează preluarea. MFA cu cheie hardware îl învinge complet; chiar și 2FA bazat pe SMS oprește cele mai multe încercări de pulverizare automată.
        • Complexitatea parolei care include minime de lungime. Minimum de 14 caractere obligă utilizatorii să iasă din grupul de parole comune vulnerabile la spray. parolele. Și mai bine: verificați parolele candidatului cu datele de încălcare prin API-ul HaveIBeenPwned Pwned Passwords (căutare k-anonymous).
        • Autentificare adaptivă. Autentificarea din locații neobișnuite, dispozitive neobișnuite sau după modele suspecte necesită verificare suplimentară. protocoale de autentificare vechi. IMAP/SMTP/POP care nu impun MFA. Protocoalele moderne folosesc OAuth2 cu suport MFA; cele vechi nu.
        • Limitarea ratei la nivel de cont este compatibilă cu spray-ul. Blocați conturile după un număr mic de încercări eșuate; alertează securitatea asupra modelelor din mai multe conturi.
        • Passkeys. Eliminați în întregime parola ca suprafață de atac.

        Ce înseamnă aceasta pentru utilizatori

        Pentru persoane fizice:XPLZ117:XPLZ117ul>

      • Nu utilizați parole care apar în HaveIBeenPwned. Verificați-vă parolele existente.
      • Utilizați un manager de parole; lăsați-l să genereze 16-32 de caractere aleatorii pe site.
      • EActivați MFA pentru fiecare cont important, cheia hardware acolo unde este acceptată.
      • Comutați la cheile de acces atunci când sunt oferite.

      Pentru organizații:

      • PLZ12XBan pentru listele dvs. variante
      • Politici de acces condiționat care detectează și răspund la modelele de pulverizare
      • MFA aplicarea pentru fiecare cont, cu chei hardware pentru administratori
      • Audituri periodice privind rezistența parolei

Întrebări frecvente

Prin ce este diferită spray-ul de parole de umplerea acreditărilor?
Umplutura de acreditări încearcă perechi de e-mailuri și parole scurse din bazele de date încălcate. Spray-ul de parole încearcă parolele comune cu o listă de nume de utilizator enumerată. Ambele sunt atacuri bazate pe acreditări la scară; diferența este sursa parolelor candidatului.
Politica de blocare a companiei mele previne pulverizarea?
Blocarea per cont nu ajută, deoarece spray încearcă fiecare cont doar o dată sau de două ori. Limitarea ratei la nivelul întregii organizații și detectarea bazată pe modele sunt ceea ce captează spray-ul - și trebuie configurate în mod explicit.
De ce este MAE apărarea standard?
MFA modifică complet ecuația. Chiar dacă parola este ghicită, al doilea factor blochează autentificarea. MFA cu cheie hardware este, în esență, imposibil de spart prin pulverizare automată. Trecerea la MFA + cheile de acces este ceea ce reduce cel mai mult rata de succes a acestor atacuri.
Sunt în scădere atacurile cu spray?
Volumul este mare, dar rata de succes scade pe măsură ce MFA se răspândește. Adversarii care nu pot obține conturi prin spray pivotează către phishing și inginerie socială. Categoria nu dispare; apărările sunt în mare parte câștigătoare.
Ce zici de spray-ul direcționat API?
Același model, aplicat punctelor finale API cu autentificare de bază sau bazată pe token. Mai puțină pulverizare clasică a parolelor, mai multă forțare brută a cheilor API sau ghicire de jeton de sesiune. Apărările sunt similare: limitarea ratei, detectarea anomaliilor și înlocuirea acreditărilor statice cu jetoane rotative.
Atacurile de pulverizare a parolelor explicate: o singură parolă, multe conturi