Vad är en attack med lösenordssprejning?
Lösenordssprejning är en typ av råstyrkeattack som innebär att en illvillig aktör försöker använda samma lösenord på flera konton innan hen går vidare och försöker med ett annat. Attacker med lösenordssprejning är ofta effektiva eftersom många användare använder enkla och lättgissade lösenord, t.ex. "password" eller "123456" och så vidare.
I många organisationer låses användare ute efter ett visst antal misslyckade inloggningsförsök. Eftersom attacker med lösenordssprejning innebär att ett lösenord testas mot flera konton undviks de kontolåsningar som vanligtvis uppstår vid råstyrkeangrepp mot ett enda konto med flera lösenord.
En särskild egenskap hos lösenordssprejning, vilket antyds av ordet "sprejning", är att den kan riktas mot tusentals eller till och med miljontals olika användare samtidigt, snarare än mot bara ett konto. Processen är ofta automatiserad och kan ske över tid för att undgå upptäckt.
Attacker med lösenordssprejning sker ofta där programmet eller administratören inom en viss organisation anger ett standardlösenord för nya användare. Gemensam inloggning och molnbaserade plattformar kan också visa sig vara särskilt sårbara.
Även om lösenordssprejning kan verka enkelt jämfört med andra typer av cyberattacker används det även av sofistikerade cyberbrottsgrupper. År 2022 utfärdade t.ex. den amerikanska myndigheten för cybersäkerhet och infrastruktursäkerhet (CISA) en varning om statssponsrade cyberaktörer och listade olika taktiker som de använder för att få tillgång till målnätverk, och lösenordssprejning ingick i listan.
Hur fungerar en attack med lösenordssprejning?
Attacker med lösenordssprejning omfattar vanligtvis följande steg:
Steg 1: Cyberbrottslingarna köper en lista med användarnamn eller skapar en egen lista
För att initiera en attack med lösenordssprejning börjar cyberbrottslingar ofta med att köpa listor med användarnamn, listor som har stulits från olika organisationer. Det uppskattas att det finns över 15 miljarder autentiseringsuppgifter till salu på mörka webben.
Alternativt kan cyberbrottslingar skapa sin egen lista genom att följa de format som företagens e-postadresser följer, t.ex. förnamn.efternamn@företagsnamn.com, och använda en lista över anställda som hämtats från LinkedIn eller andra offentliga informationskällor.
Cyberbrottslingar riktar ibland in sig på specifika grupper av anställda, ekonomer, administratörer eller chefer, eftersom specifik inriktning kan ge bättre resultat. De riktar ofta in sig på företag eller avdelningar som använder gemensam inloggning (SSO) eller federerade autentiseringsprotokoll, t.ex. möjligheten att logga in på Facebook med dina Google-uppgifter, eller på platser som inte har infört flerfaktorsautentisering.
Steg 2: Cyberbrottslingarna får en lista över vanliga lösenord
Attacker med lösenordssprejning innefattar listor med vanliga lösenord eller standardlösenord. Det är relativt enkelt att ta reda på vilka de vanligaste lösenorden är, olika rapporter eller studier publicerar dem varje år, och Wikipedia har till och med en sida som listar de vanligaste 10 000 lösenorden. Cyberbrottslingar kan också göra egna efterforskningar för att gissa lösenord, t.ex. genom att använda namnet på idrottslag eller framträdande landmärken i närheten av en viss organisation.
Steg 3: Cyberbrottslingarna testar olika kombinationer av användarnamn och lösenord
När cyberbrottslingen har en lista med användarnamn och lösenord är målet att prova dem tills man hittar en kombination som fungerar. Ofta automatiseras processen med hjälp av verktyg för lösenordssprejning. Cyberbrottslingar använder ett lösenord för flera användarnamn och upprepar sedan processen med nästa lösenord på listan för att undvika att drabbas av utelåsningspolicyer eller IP-adressblockerare som begränsar inloggningsförsöken.
Konsekvenserna av attacker med lösenordssprejning
När en angripare kommer åt ett konto via en attack med lösenordssprejning hoppas hen att det innehåller tillräckligt värdefull information för att stjäla eller har tillräckliga behörigheter för att ytterligare försvaga organisationens säkerhetsåtgärder för att få tillgång till ännu känsligare data.
Attacker med lösenordssprejning kan om de lyckas orsaka betydande skada för organisationer. Till exempel kan en angripare som använder till synes tillförlitliga autentiseringsuppgifter få åtkomst till finansiella konton för att göra bedrägliga inköp. Om detta inte upptäcks kan det bli en ekonomisk börda för det drabbade företaget. Återhämtningstiden efter en cyberattack kan ta upp till några månader eller mer.
Förutom att påverka en organisations finanser kan lösenordssprejning avsevärt sakta ner eller störa den dagliga verksamheten. Skadliga e-postmeddelanden till hela företaget kan minska produktiviteten. En angripare som tar över ett företagskonto kan stjäla privat information, avbryta köp eller ändra leveransdatum för tjänster.
Dessutom skadas företagets anseende: om ett företag utsätts för intrång på det här sättet är det mindre sannolikt att kunderna litar på att deras uppgifter är säkra hos det företaget. De kanske flyttar sin verksamhet någon annanstans, vilket orsakar ytterligare skada.
Exempel på lösenordssprejning
"Jag ombads ändra mitt lösenord när min bank utsattes för en attack med lösenordssprejning. Illvilliga aktörer kunde prova miljontals kombinationer av användarnamn och lösenord mot bankens kunder, och tyvärr var jag en av dem."
Lösenordssprejning jämfört med råstyrka
Vid en attack med lösenordssprejning försöker man komma åt en stor mängd konton med ett fåtal vanliga lösenord. Vid råstyrkeattacker försöker man däremot få obehörig åtkomst till ett enskilt konto genom att gissa lösenordet, ofta med hjälp av stora listor med potentiella lösenord.
Med andra ord innebär råstyrkeattacker många lösenord för varje användarnamn. Lösenordssprejning innebär att många användarnamn används för ett lösenord. De är olika sätt att utföra autentiseringsattacker.
Tecken på en attack med lösenordssprejning
Attacker med lösenordssprejning orsakar vanligtvis frekventa, misslyckade autentiseringsförsök på flera konton. Organisationer kan upptäcka lösenordssprejning genom att granska autentiseringsloggar för system och applikationsinloggningsfel för giltiga konton.
De viktigaste tecknen på en attack med lösenordssprejning är följande:
- En stor mängd inloggningsaktivitet under en kort period.
- En ökning av antalet misslyckade inloggningsförsök från aktiva användare.
- Inloggningar från icke-existerande eller inaktiva konton.
Hur man försvarar sig mot attacker med lösenordssprejning
Organisationer kan skydda sig mot attacker med lösenordssprejning genom att följa dessa försiktighetsåtgärder:
Tillämpa en policy för starka lösenord
Genom att genomdriva användningen av starka lösenord kan IT-grupperna
minimera risken för attacker med lösenordssprejning. Du kan läsa mer om
hur
man skapar ett starkt lösenord här.
Upprätta inloggningsdetektering
IT-grupperna bör också tillämpa detektering av inloggningsförsök till
flera konton som sker från en enda värd inom en kort tidsperiod eftersom
detta är en tydlig indikator på försök till lösenordssprejning.
Säkerställa starka utelåsningspolicyer
Att sätta ett lämpligt tröskelvärde för utelåsningspolicyn på domännivå
skyddar mot lösenordssprejning. Tröskelvärdet måste vara tillräckligt
låg för att hindra angripare från att göra flera autentiseringsförsök
under spärrperioden, men inte så lågt att riktiga användare spärras från
sina konton på grund av enkla fel. Det bör också finnas en tydlig
process för upplåsning och återställning av verifierade
kontoanvändare.
Anta en nolltillitsstrategi
En hörnsten i nolltillitsstrategin
är att endast ge tillgång till det som vid varje given tidpunkt krävs
för att slutföra den aktuella uppgiften. Att införa nolltillit inom en
organisation är ett viktigt bidrag till nätverkssäkerheten.
Använd en icke-standardiserad konvention för
användarnamn
Undvik att välja uppenbara användarnamn som erik.larsson eller elarsson,
vilket är de vanligaste metoderna för användarnamn, för allt annat än
e-post. Att separera icke-standardiserade inloggningar för konton med
gemensam inloggning är ett sätt att undvika angripare.
Använd biometri
För att förhindra att angripare utnyttjar de potentiella svagheterna i
alfanumeriska lösenord kräver vissa organisationer en biometrisk
inloggning. Om personen inte är närvarande kan angriparen inte logga
in.
Håll utkik efter mönster
Se till att eventuella säkerhetsåtgärder snabbt kan identifiera
misstänkta inloggningsmönster, t.ex. en stor mängd konton som försöker
logga in samtidigt.
En lösenordshanterare kan hjälpa
Lösenord är avsedda att skydda känslig information från tvivelaktiga aktörer. Men den genomsnittlige användaren har idag så många lösenord att det kan vara svårt att hålla reda på dem alla, särskilt som varje uppsättning uppgifter ska vara unik.
För att försöka hålla koll gör vissa användare misstaget att använda uppenbara eller lättgissade lösenord, och använder ofta samma lösenord för flera konton. Det är just den här typen av lösenord som är sårbara för attacker med lösenordssprejning.
Angriparnas kapacitet och verktyg har utvecklats avsevärt under de senaste åren. Datorer är idag mycket snabbare på att gissa lösenord. Angriparna använder automatisering för att angripa lösenordsdatabaser eller onlinekonton. De behärskar specifika tekniker och strategier som ger större framgång.
För enskilda användare kan det vara bra att använda en lösenordshanterare, t.ex. Kaspersky Password Manager. Lösenordshanterare kombinerar komplexitet och längd för att erbjuda lösenord som är svåra att knäcka. De gör det också lättare att komma ihåg olika inloggningsuppgifter och dessutom kan en lösenordshanterare hjälpa till att kontrollera om lösenorden för olika tjänster upprepas. De är en praktisk lösning för enskilda personer att skapa, hantera och lagra sina unika autentiseringsuppgifter.
Relaterade produkter:
Läs mer: