Wachtwoord Spuiten: Hoe deze aanvallen te herkennen en te vermijden

Het nederige wachtwoord is in 2021 60 geworden, maar het is nog lang niet met pensioen. Sterker nog, het is nog steeds de bron van veel hoofdpijn. Een daarvan, password spraying, is zo'n veelvoorkomende bedreiging geworden dat het Department of Homeland Security een waarschuwing heeft afgegeven, waarin systeembeheerders worden aangemoedigd om op hun hoede te zijn.[i] Microsoft heeft gemeld dat password spraying goed is voor een derde van de compromittering van accounts in organisaties.[ii]

Wat is paswoord spuiten? Simpel gezegd is het net alsof een inbreker alle bellen van de intercom van een gebouw laat rinkelen totdat iemand hem binnenlaat, en dan in een appartement inbreekt. Fraudeurs gebruiken een lijst van veelgebruikte wachtwoorden - zoals "Pswd123", voor degenen die nooit de moeite hebben genomen om een nieuw wachtwoord te verzinnen wanneer ze bij een organisatie gaan werken - en gebruiken vaak bots om het herhaalde proces van inbreken te automatiseren.

Password spraying is een van de "brute force"-aanvallen. Andere soorten zijn die waarbij social engineering-technieken en automatisering worden gebruikt om te gissen naar waarschijnlijke tekencombinaties en één of een paar accounts te bestoken. Er is ook "credential stuffing", waarbij gestolen wachtwoorden van de inbraak op één site worden gebruikt en naar tientallen of honderden andere sites worden gestuurd.

Password spraying rekent op gebruikers die niet de moeite nemen om een goed wachtwoord te onthouden - recent onderzoek heeft uitgewezen dat slechts 15% van de wachtwoorden uniek is.[iii] Password spraying attacks werken met een lijst van gebruikersnamen - of een lijst van e-mailadressen - waarbij zwakke wachtwoorden als "111111" of "qwerty" worden ingevoegd om door de aanmelding te komen.

Hoe werken wachtwoordspray-aanvallen?

Sinds organisaties zich tegen brute kracht aanvallen hebben verdedigd door gebruikers na een aantal mislukte gokpogingen uit te sluiten, hebben de slechteriken hun tactiek veranderd. Net als de inbreker willen ze niet dat herhaalde pogingen om het gebouw - of in dit geval, het netwerk - binnen te komen alarm slaan.

In plaats van meerdere wachtwoorden voor één account te proberen, richten "spraying"-aanvallen zich op eenmalige aanmeldingsdiensten en andere cloud-gebaseerde identiteitsplatforms door één mogelijk wachtwoord per keer over alle gebruikers te "sproeien", om de automatische lock-outverdediging te omzeilen. Zodra fraudeurs de verificatie van een gebruiker hebben doorbroken, is het een kwestie van het netwerk te doorkruisen om gegevens te stelen of malware te installeren.

Hoe een wachtwoordspray aanval te detecteren

Password spraying vereist niet veel vaardigheden, dus het detecteren van een password spraying aanval is niet zo moeilijk. Beveiligingsteams kunnen ze opsporen aan de hand van een paar verklikkerlampjes, meestal met een hoog volume aan aanmeldingsactiviteiten. Een piek in mislukte aanmeldingspogingen door actieve gebruikers, of in aanmeldingen van inactieve of niet-bestaande accounts, kan een teken zijn van een password spraying-aanval.

Drie stappen die u moet ondernemen als u een wachtwoordsprayaanval vermoedt

Zodra een aanval met wachtwoordspray is gelanceerd, gaat het snel, dus een snelle reactie is essentieel om de aanvallers af te schrikken en hun schade te beperken.

• Wijzig alle beheerders wachtwoorden: Inbreken in een account is niet het einddoel voor fraudeurs, die van plan zijn in te breken in databases en andere netwerk activa, dus hen weghouden van uw meest bevoorrechte beheerders accounts is een topprioriteit.
• Controleer uw aanmeldingsinstellingen: Als uw organisatie een aanmeldingsplatform gebruikt, zoals een SSO-tool (Single Sign-on) (Identity Access Management) (IAM), controleer dan of de instellingen zijn geconfigureerd om mislukte aanmeldingen voor meerdere resources te detecteren. Dit extra overzicht helpt bij de reactie op bedreigingen.
• Activeer uw plan voor reactie op bedreigingen: Alle organisaties zijn tegenwoordig afhankelijk van digitale systemen om te kunnen functioneren, dus ze moeten een vastgesteld plan voor reactie op cyberaanvallen hebben. Dit plan moet back-ups van gegevens en communicatieketens voor incidentrespons omvatten om de activiteiten in stand te houden en responstijden te verkorten. Deze plannen moeten regelmatig worden gecontroleerd en bijgewerkt.

Hoe paswoord spuiten te voorkomen

Beheerders kunnen hun reactie verbeteren door monitoring in te stellen die een abnormaal hoog aantal aanmeldingspogingen markeert, zodat ze kunnen waarschuwen zodra een potentiële aanval in uitvoering wordt gedetecteerd. Maar aangezien wachtwoordspraying-aanvallen zowel veel voorkomen als snel gaan, is de beste verdediging een goede aanval. Voorkom dat u een prooi wordt door een aantal best practices toe te passen om password spraying te voorkomen.

Enkele proactieve acties om het risico op sproeien met een wachtwoord te verkleinen:

• Gebruik multifactorauthenticatie (MFA) voor alle gebruikers: Door een eenmalige beveiligingscode of een andere factor te eisen om een gebruiker te valideren, kunnen "password spraying"-aanvallen worden ondervangen.
• Verbeter het beveiligingsbewustzijn: Plan regelmatig beveiligingsbewustzijnstrainingen om informatie over actieve bedreigingen te delen en het personeel te doordringen van het belang van wachtwoordbeveiliging. Moedig gebruikers aan om gebruik te maken van wachtwoordkluizen en andere hulpmiddelen die sterke, unieke wachtwoorden genereren en opslaan.
• Herzie het wachtwoordbeheer van uw organisatie regelmatig: Niemand zou "wachtwoord123" moeten gebruiken of jarenlang hetzelfde wachtwoord moeten gebruiken. Dwing het gebruik van sterke wachtwoorden en regelmatige vervanging van wachtwoorden af. Overweeg een zwarte lijst op te stellen van veelgebruikte wachtwoorden die mensen in uw bedrijf geneigd kunnen zijn te gebruiken. Marketing" mag bijvoorbeeld niet als wachtwoord worden gebruikt door uw marketingmedewerkers.
• Stel een lock-out beleid op en handhaaf dit: Stel een wachtwoordwijziging verplicht na een account lock-out. Train uw helpdesk om gebruikersaccounts te ontgrendelen, waarbij u de gebruikers valideert maar het ongemak tot een minimum beperkt, en herzie deze procedures regelmatig om op de hoogte te blijven van bedreigingen.
  Voer penetratietests uit: Het live testen van uw inlogbeveiliging kan beter zicht geven op achterdeuren en kwetsbaarheden in het inlogproces van de organisatie, bij voorkeur vóór een wachtwoordsprayaanval.
• Ga wachtwoordloos: Het wachtwoord heeft de pensioengerechtigde leeftijd al bereikt, en met de beschikbaarheid van technologieën zoals smartphones en biometrie is het een beveiliging van de oude stempel. Identiteitsvalidatie met stemgestuurde toegang of gezichtsherkenning op smartphones is veel moeilijker te doorbreken voor fraudeurs.

De kern van de zaak

Aanvallen met wachtwoordspraying zijn een voortdurende bedreiging. Zolang organisaties erop blijven vertrouwen dat gebruikers een wachtwoord onthouden om zich aan te melden, zullen deze gegevens een zwakke schakel blijven in de netwerkbeveiliging. Vroege detectie en snelle reactie zijn de sleutel tot het afslaan van 'password spraying'-aanvallen, dus een goed doordacht wachtwoordbeleid en krachtige handhaving kunnen 'password spraying' de pas afsnijden en fraudeurs buiten de deur houden. Maar de proactieve invoering van een sterk wachtwoordbeveiligingsbeheer en uiteindelijk de afschaffing van wachtwoorden zijn misschien wel de beste praktijken om password spraying op de lange termijn te voorkomen.

[i] "ACSC Releases Advisory on Password Spraying Attacks", Cybersecurity- en infrastructuurbeveiligingsagentschap

[ii] "Advancing Password Spray Attack Detection," Microsoft

[iii] "Meest gebruikte wachtwoorden: Laatste 2022 statistieken," CyberNews