密码喷洒
本文约需 2 分钟阅读
密码喷洒攻击是一种针对大量账户、每次少量尝试常用密码 (如「123456」「Password1」) 的攻击手法。通过抑制对单个账户的尝试次数来规避账户锁定,使检测变得困难是其特点。该手法在针对 Microsoft 365 和 Azure AD (现 Entra ID) 的攻击中频繁被观测到, 2024 年多家大型科技企业确认了由国家支持的攻击团伙发起的密码喷洒。
现场使用案例
“分析 Azure AD 的登录日志后,检测到针对 200 多个账户使用同一密码『Company2024!』的登录尝试。对每个账户的尝试仅有 1 次,未发生锁定,因此判断为密码喷洒攻击。”
攻击模式图
攻击者:选择 1 个常用密码
尝试账户 A
尝试账户 B
尝试账户 C
每个账户仅 1 次 → 规避锁定
间隔一段时间后用下一个密码重试
与暴力破解攻击的区别
暴力破解攻击是针对 1 个账户尝试大量密码,而密码喷洒是用 1 个密码尝试大量账户。暴力破解可通过账户锁定轻松检测和防御,但密码喷洒对每个账户的尝试仅有 1〜2 次,不会达到锁定阈值。它与撞库攻击也不同,其特点在于使用的不是泄露的密码列表,而是统计上常见的通用密码。认证安全入门书 (Amazon)可系统性地学习。
防御措施
最有效的防御是使用由 passtsuku.com 之类的工具生成的随机长密码,排除出现在通用密码列表中的简单密码。在组织层面,全公司部署多因素认证 (MFA)是决定性的对策。 Azure AD 的智能锁定,以及对认证日志异常模式的检测 (短时间内大量账户出现同一密码失败) 也很有效。也请一并查看密码喷洒攻击详解。账户保护相关书籍 (Amazon)也可作为参考。
这篇文章对您有帮助吗?