Две најчешће коришћене методе за добијање приступа неовлашћеним налозима су (а) Бруте Форце Аттацк^{(Brute Force Attack)} и (б) Пассворд Спраи Аттацк^{(Password Spray Attack)} . Раније смо објаснили нападе грубом силом . ^{(Brute Force Attacks)}Овај чланак се фокусира на напад спрејом лозинком^{(Password Spray Attack)} – шта је то и како да се заштитите од таквих напада.

Дефиниција напада спрејом лозинком

Напад спрејом лозинком^{(Password Spray Attack)} је сасвим супротан нападу грубом силом^{(Brute Force Attack)} . У нападима Бруте Форце^{(Brute Force)} , хакери бирају рањиви ИД и уносе лозинке једну за другом у нади да ће их нека лозинка пустити унутра. У суштини^(Basically) , Бруте Форце^{(Brute Force)} је много лозинки које се примењују на само један ИД.

Што се тиче напада спрејом лозинки^{(Password Spray)} , постоји једна лозинка која се примењује на више корисничких ИД^(IDs) -ова тако да је бар један кориснички ИД компромитован. За нападе спрејом лозинки^{(Password Spray)} , хакери прикупљају више корисничких ИД^(IDs) -ова користећи друштвени инжењеринг^{(social engineering)} или друге методе пхисхинга^{(phishing methods)} . Често се дешава да бар један од тих корисника користи једноставну лозинку као што је 12345678 или чак [емаил протецтед]^{([email protected])} . Ова рањивост (или недостатак информација о томе како да се креирају јаке лозинке^{(create strong passwords)} ) се искориштава у Пассворд Спраи Аттацкс^{(Password Spray Attacks)} .

У нападу^{(Password Spray Attack)} спрејом лозинком, хакер би применио пажљиво конструисану лозинку за све корисничке ИД^(IDs) -ове које је прикупио. Ако буде имао среће, хакер би могао да добије приступ једном налогу одакле може даље да продре у рачунарску мрежу.

Пассворд Спраи Аттацк се стога може дефинисати као примена исте лозинке на више корисничких налога у организацији да би се обезбедио неовлашћени приступ једном од тих налога.^{(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)}

Бруте Форце Аттацк^{(Brute Force Attack)} вс Пассворд Спраи Аттацк^{(Password Spray Attack)}

Проблем са нападима грубом силом^{(Brute Force Attacks)} је што системи могу бити закључани након одређеног броја покушаја са различитим лозинкама. На пример, ако подесите сервер да прихвати само три покушаја, иначе закључава систем на коме се пријављује, систем ће се закључати за само три неважећа уноса лозинке. Неке организације дозвољавају три, док друге дозвољавају до десет неважећих покушаја. Многи веб-сајтови користе овај метод закључавања ових дана. Ова мера предострожности представља проблем са нападима грубом силом^{(Brute Force Attacks)} јер ће закључавање система упозорити администраторе о нападу.

Да би се то заобишло, створена је идеја о прикупљању корисничких ИД -ова и примени вероватних лозинки на њих. ^(IDs)Са Пассворд Спраи Аттацк^{(Password Spray Attack)} -ом такође, хакери примењују одређене мере предострожности. На пример, ако су покушали да примене лозинку1 на све корисничке налоге, неће почети да примењују лозинку2 на те налоге убрзо након завршетка првог круга. Они ће оставити период од најмање 30 минута између покушаја хаковања.

Заштита од напада спрејом лозинком^{(Password Spray Attacks)}

И напади грубом силом^{(Brute Force Attack)} и напади спрејом лозинком^{(Password Spray)} могу се зауставити на пола пута под условом да постоје одговарајуће безбедносне политике. Пауза од 30 минута ако се изостави, систем ће се поново закључати ако се за то обезбеди. Могу се применити и неке друге ствари, као што је додавање временске разлике између пријављивања на два корисничка налога. Ако је то делић секунде, повећајте време за пријаву два корисничка налога. Такве смернице помажу у упозорењу администратора који онда могу да искључе сервере или да их закључају тако да се не догоди операција читања и писања на базама података.

Прва ствар да заштитите своју организацију од напада спрејом лозинком^{(Password Spray Attacks)} јесте да образујете своје запослене о врстама напада социјалног инжењеринга, пхисхинг напада и важности лозинки. На тај начин запослени неће користити никакве предвидљиве лозинке за своје налоге. Други метод је да администратори дају корисницима јаке лозинке, објашњавајући потребу да буду опрезни како не би забележили лозинке и залепили их на своје рачунаре.

Постоје неке методе које помажу у идентификацији рањивости у вашим организационим системима. На пример, ако користите Оффице 365 ^{(Office 365)} Ентерприсе^(Enterprise) , можете покренути Аттацк Симулатор да бисте знали да ли неко од ваших запослених користи слабу лозинку.

Прочитајте следеће^{(Read next)} : Шта је то домен фронтинг^{(Domain Fronting)} ?

Password Spray Attack Definition and Defending yourself

The two most commonly used methods to gain access to unauthorized accounts are (a) Brute Force Attaсk, and (b) Password Spray Αttack. We have explained Brute Force Attacks earlier. This article focuses on Password Spray Attack – what it is and how to protect yourself from such attacks.

Password Spray Attack Definition

Password Spray Attack is quite the opposite of Brute Force Attack. In Brute Force attacks, hackers choose a vulnerable ID and enter passwords one after another hoping some password might let them in. Basically, Brute Force is many passwords applied to just one ID.

Coming to Password Spray attacks, there is one password applied to multiple user IDs so that at least one of the user ID is compromised. For Password Spray attacks, hackers collect multiple user IDs using social engineering or other phishing methods. It often happens that at least one of those users is using a simple password like 12345678 or even [email protected]. This vulnerability (or lack of info on how to create strong passwords) is exploited in Password Spray Attacks.

In a Password Spray Attack, the hacker would apply a carefully constructed password for all the user IDs he or she has collected. If lucky, the hacker might gain access to one account from where s/he can further penetrate into the computer network.

Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.

Brute Force Attack vs Password Spray Attack

The problem with Brute Force Attacks is that systems can be locked down after a certain number of attempts with different passwords. For example, if you set up the server to accept only three attempts otherwise lock down the system where login is taking place, the system will lock down for just three invalid password entries. Some organizations allow three while others allow up to ten invalid attempts. Many websites use this locking method these days. This precaution is a problem with Brute Force Attacks as the system lockdown will alert the administrators about the attack.

To circumvent that, the idea of collecting user IDs and applying probable passwords to them was created. With Password Spray Attack too, certain precautions are practiced by the hackers. For example, if they tried to apply password1 to all the user accounts, they will not start applying password2 to those accounts soon after finishing the first round. They’ll leave a period of at least 30 minutes among hacking attempts.

Protecting against Password Spray Attacks

Both Brute Force Attack and Password Spray attacks can be stopped midway provided that there are related security policies in place. The 30 min gap if left out, the system will again lock down if a provision is made for that. Certain other things also can be applied, like adding time difference between logins on two user accounts. If it is a fraction of a second, increase timing for two user accounts to log in. Such policies help in alerting the administers who can then shut down the servers or lock them down so that no read-write operation happens on databases.

The first thing to protect your organization from Password Spray Attacks is to educate your employees about the types of social engineering attacks, phishing attacks, and the importance of passwords. That way employees won’t use any predictable passwords for their accounts. Another method is admins providing the users with strong passwords, explaining the need to be cautious so that they don’t note down the passwords and stick it to their computers.

There are some methods that help in identifying the vulnerabilities in your organizational systems. For example, if you are using Office 365 Enterprise, you can run Attack Simulator to know if any of your employees are using a weak password.

Read next: What is Domain Fronting?

Related posts

• Ова функција захтева преносиви медиј – грешка при ресетовању лозинке

• Подесите датум истека лозинке за Мицрософт налог и локални налог

• Како учинити да прегледач приказује сачувану лозинку у тексту уместо у тачкама

• ЛессПасс је бесплатан генератор и менаџер лозинки

• Битварден преглед: Бесплатан Опен Соурце Пассворд Манагер за Виндовс ПЦ

• Кликните овде да бисте унели своју најновију поруку са акредитивима у Виндовс 11

• Како да онемогућите уграђени менаџер лозинки у Цхроме-у, Едге-у, Фирефок-у

• Оутлоок не чува лозинке у оперативном систему Виндовс 10

• РемемБеар Пассворд Манагер преглед: једноставно, безбедно и ефикасно!

• Да ли је безбедно чувати лозинке у прегледачу Цхроме, Фирефок или Едге?

• Како генерисати насумичну јаку лозинку у Екцелу

• Бесплатан сигуран онлајн генератор лозинки за креирање насумичних лозинки

• Како преместити Мицрософт Аутхентицатор на нови телефон

• Најбољи бесплатни онлајн менаџери лозинки - да ли су безбедни?

• Опоравите изгубљену или заборављену Оутлоок ПСТ лозинку помоћу бесплатних алата за опоравак

• Увезите обележиваче, лозинке у Цхроме из другог прегледача

• Како омогућити или онемогућити дугме Откриј лозинку у Мицрософт Едге-у

• Ресетујте лозинку за Виндовс помоћу Рецовер ми Пассворд Хоме Бесплатно

• Напади грубом силом - дефиниција и превенција

• Дасхлане Фрее: Аутоматизујте своју пријаву и онлајн трансакције