大家好, 只要我们拥有密码,总会有人试图猜出它们。在本博客中,我们将讨论一种近期出现频率相当高的常见攻击,以及用于防御这种攻击的一些最佳做法。这种攻击通常被称为密码喷洒。 在密码喷洒攻击中,攻击者在许多不同的帐户和服务之间尝试最常见的密码,借此访问他们可以找到的任何受密码保护的资产。通常情况下,许多不同的组织和标识提供者都会遭受这种攻击。例如,攻击者将使用常见的可用工具包(比如 Mailsniper)来枚举几个组织中的所有用户,燃烧室内后对他们的帐户尝试“P@$$w0rd”和“Password1”。为使你明白,攻击模式可能与以下类似: 目标用户 目标密码 User1@org1.com Password1 User2@org1.com Password1 User1@org2.com Password1 User2@org2.com Password1 … … User1@org1.com P@$$w0rd User2@org1.com P@$$w0rd User1@org2.com P@$$w0rd User2@org2.com P@$$w0rd 这种攻击模式可以躲避大部分检测技术,因为从个人或公司的角度来看,这种攻击看起来只是一次登录失败。 对于攻击者来说,这是一个数字游戏:他们知道有些密码相当常见。即使只有 0.5-1.
