大家好, 只要您有過密碼,就一定會有人去猜它是什麼。這篇部落格文章中,我們要討論的是一種最近變得極其頻繁的常見攻擊,並告訴您幾種防禦的最佳做法。這種攻擊一般稱為「密碼噴濺」。 在密碼噴濺攻擊中,攻擊者會使用許多不同帳戶與服務中最常見的密碼,去嘗試存取任何他們能找到的密碼保護資產。這些攻擊通常可能橫跨許多不同組織和識別提供者。舉例來說,攻擊者會使用 Mailsniper 這類容易取得的工具組去羅列出數個組織中的所有使用者,然後嘗試用「P@$$w0rd」和「Password1」去登入這些帳戶。為了讓您清楚了解,這種攻擊行為可能像這樣: 目標使用者 目標密碼 User1@org1.com 密碼1 User2@org1.com 密碼1 User1@org2.com 密碼1 User2@org2.com 密碼1 … … User1@org1.com P@$$w0rd User2@org1.com P@$$w0rd User1@org2.com P@$$w0rd User2@org2.com P@$$w0rd 這種攻擊模式避開了大多數偵測技術,因為以個別使用者或公司的角度來說,這類攻擊看起來就只像是獨立的登入失敗行為。 但對攻擊者來說,這是一場以量取勝的遊戲:他們知道有某些密碼確實極為常見。即便使用這些最常用密碼的帳戶只佔了總帳戶量的 0.5 到 1.
