Os dois métodos mais usados ​​para obter acesso a contas não autorizadas são (a) Brute Force Attack e (b) Password Spray Attack . Já explicamos os Ataques de Força Bruta^{(Brute Force Attacks)} anteriormente. Este artigo se concentra no ataque de spray de senha^{(Password Spray Attack)} – o que é e como se proteger de tais ataques.

Definição de ataque de pulverização de senha

O Password Spray Attack^{(Password Spray Attack)} é exatamente o oposto do Brute Force Attack . Nos ataques de Brute Force , os hackers escolhem um ID vulnerável e inserem as senhas uma após a outra esperando que alguma senha possa deixá-los entrar. Basicamente^(Basically) , o Brute Force consiste em muitas senhas aplicadas a apenas um ID.

Com relação aos ataques do Password Spray , há uma senha aplicada a vários IDs de usuário para que pelo menos um dos IDs do usuário seja comprometido. Para ataques Password Spray , os hackers coletam vários IDs de usuário usando engenharia social^{(social engineering)} ou outros métodos de phishing^{(phishing methods)} . Muitas vezes acontece que pelo menos um desses usuários está usando uma senha simples como 12345678 ou mesmo [email protected] . Essa vulnerabilidade (ou falta de informações sobre como criar senhas fortes^{(create strong passwords)} ) é explorada em ataques de spray de senha^{(Password Spray Attacks)} .

Em um ataque de pulverização de senha^{(Password Spray Attack)} , o hacker aplicaria uma senha cuidadosamente construída para todos os IDs de usuário que ele coletou. Se tiver sorte, o hacker poderá obter acesso a uma conta de onde poderá penetrar ainda mais na rede de computadores.

O ataque de pulverização de senha pode ser definido como a aplicação da mesma senha a várias contas de usuário em uma organização para proteger o acesso não autorizado a uma dessas contas.^{(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)}

Ataque de força bruta^{(Brute Force Attack)} vs ataque de spray de senha^{(Password Spray Attack)}

O problema com os ataques de força bruta^{(Brute Force Attacks)} é que os sistemas podem ser bloqueados após um certo número de tentativas com senhas diferentes. Por exemplo, se você configurar o servidor para aceitar apenas três tentativas, caso contrário, bloqueará o sistema onde o login está ocorrendo, o sistema bloqueará apenas três entradas de senha inválidas. Algumas organizações permitem três, enquanto outras permitem até dez tentativas inválidas. Muitos sites usam esse método de bloqueio atualmente. Essa precaução é um problema com ataques de força bruta,^{(Brute Force Attacks)} pois o bloqueio do sistema alertará os administradores sobre o ataque.

Para contornar isso, surgiu a ideia de coletar IDs de usuários e aplicar prováveis ​​senhas a eles. Com o Password Spray Attack também, certas precauções são praticadas pelos hackers. Por exemplo, se eles tentaram aplicar senha1 a todas as contas de usuário, eles não começarão a aplicar senha2 a essas contas logo após terminar a primeira rodada. Eles deixarão um período de pelo menos 30 minutos entre as tentativas de hackers.

Proteção contra ataques de spray de senha^{(Password Spray Attacks)}

Os ataques Brute Force Attack^{(Brute Force Attack)} e Password Spray podem ser interrompidos no meio do caminho, desde que haja políticas de segurança relacionadas em vigor. Se o intervalo de 30 minutos for deixado de fora, o sistema será bloqueado novamente se for feita uma provisão para isso. Algumas outras coisas também podem ser aplicadas, como adicionar diferença de horário entre logins em duas contas de usuário. Se for uma fração de segundo, aumente o tempo de login de duas contas de usuário. Essas políticas ajudam a alertar os administradores que podem desligar os servidores ou bloqueá-los para que nenhuma operação de leitura e gravação ocorra nos bancos de dados.

A primeira coisa para proteger sua organização contra ataques de spray de senha^{(Password Spray Attacks)} é educar seus funcionários sobre os tipos de ataques de engenharia social, ataques de phishing e a importância das senhas. Dessa forma, os funcionários não usarão senhas previsíveis para suas contas. Outro método é os administradores fornecerem senhas fortes aos usuários, explicando a necessidade de serem cautelosos para que eles não anotem as senhas e as colem em seus computadores.

Existem alguns métodos que ajudam a identificar as vulnerabilidades em seus sistemas organizacionais. Por exemplo, se você estiver usando o Office 365 Enterprise , poderá executar o Simulador de Ataque para saber se algum de seus funcionários está usando uma senha fraca.

Leia a seguir^{(Read next)} : O que é Domain Fronting ?

Password Spray Attack Definition and Defending yourself

The two most commonly used methodѕ to gain access to υnauthorized accounts are (a) Brυte Force Attack, and (b) Password Sprаy Attack. We have explained Brute Force Attacks earlier. This article focuses on Password Spray Attack – what it is and how to protect yourself from such attacks.

Password Spray Attack Definition

Password Spray Attack is quite the opposite of Brute Force Attack. In Brute Force attacks, hackers choose a vulnerable ID and enter passwords one after another hoping some password might let them in. Basically, Brute Force is many passwords applied to just one ID.

Coming to Password Spray attacks, there is one password applied to multiple user IDs so that at least one of the user ID is compromised. For Password Spray attacks, hackers collect multiple user IDs using social engineering or other phishing methods. It often happens that at least one of those users is using a simple password like 12345678 or even [email protected]. This vulnerability (or lack of info on how to create strong passwords) is exploited in Password Spray Attacks.

In a Password Spray Attack, the hacker would apply a carefully constructed password for all the user IDs he or she has collected. If lucky, the hacker might gain access to one account from where s/he can further penetrate into the computer network.

Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.

Brute Force Attack vs Password Spray Attack

The problem with Brute Force Attacks is that systems can be locked down after a certain number of attempts with different passwords. For example, if you set up the server to accept only three attempts otherwise lock down the system where login is taking place, the system will lock down for just three invalid password entries. Some organizations allow three while others allow up to ten invalid attempts. Many websites use this locking method these days. This precaution is a problem with Brute Force Attacks as the system lockdown will alert the administrators about the attack.

To circumvent that, the idea of collecting user IDs and applying probable passwords to them was created. With Password Spray Attack too, certain precautions are practiced by the hackers. For example, if they tried to apply password1 to all the user accounts, they will not start applying password2 to those accounts soon after finishing the first round. They’ll leave a period of at least 30 minutes among hacking attempts.

Protecting against Password Spray Attacks

Both Brute Force Attack and Password Spray attacks can be stopped midway provided that there are related security policies in place. The 30 min gap if left out, the system will again lock down if a provision is made for that. Certain other things also can be applied, like adding time difference between logins on two user accounts. If it is a fraction of a second, increase timing for two user accounts to log in. Such policies help in alerting the administers who can then shut down the servers or lock them down so that no read-write operation happens on databases.

The first thing to protect your organization from Password Spray Attacks is to educate your employees about the types of social engineering attacks, phishing attacks, and the importance of passwords. That way employees won’t use any predictable passwords for their accounts. Another method is admins providing the users with strong passwords, explaining the need to be cautious so that they don’t note down the passwords and stick it to their computers.

There are some methods that help in identifying the vulnerabilities in your organizational systems. For example, if you are using Office 365 Enterprise, you can run Attack Simulator to know if any of your employees are using a weak password.

Read next: What is Domain Fronting?

Related posts

• Este recurso exige mídia removível - Erro de redefinição Password

• Definir um Password Expiration Date para Microsoft Account and Local Account

• Como fazer Browser show Saved Password em Text em vez de pontos

• LessPass é um livre Password Generator and Manager

• Bitwarden Review: Free Open Source Password Manager para Windows PC

• Como configurar e usar BIOS or UEFI password em Windows 10 computador

• Não é possível fazer login no Windows 10 | Windows login and password problems

• É seguro salvar senhas em Chrome, Firefox or Edge browser?

• Reset Windows Password com Recover minha Password Home Free

• Password Security Scanner: Analyze e verificar a força da sua senha

• RandPass Lite é um livre bulk random password generator para Windows 10

• Impedir Pwned Password Add-on para Firefox

• Import Bookmarks, Passwords em Chrome de outro navegador

• Como gerar senha em Google Chrome usando Password Generator

• Key Password Manager verdadeiro para Windows PC, Android and iPhone

• Firefox Lockbox permite que você carregue suas senhas no seu telefone

• Remova todos os Saved Passwords uma vez em Chrome, Firefox, Edge

• forçar os usuários a mudar Account Password na próxima Login em Windows 10

• Trend Micro Password Manager para Windows 10 PC

• Como importar senhas de Chrome para Firefox em Windows 10