公司如何保护自己免受密码攻击

攻击者正在使用多种类型的攻击来破坏关键业务数据。这些攻击包括零日攻击、供应链攻击等。然而，黑客进入您环境的最常见方式之一是泄露密码。

密码喷洒攻击是一种特殊的密码攻击，可以有效地破坏您的环境。让我们更仔细地看看密码喷洒攻击，以及组织如何防止它。

当心泄露的凭证

泄露的凭据对您的环境是否有危险？对泄露的凭据允许攻击者使用合法凭据“走进”您环境的前门。他们承担了受损帐户可以访问的系统、数据和资源的所有权利和权限。

特权账户的妥协甚至更糟。特权帐户是具有高访问级别的帐户，例如管理员用户帐户。这些类型的帐户代表了攻击者的“圣杯”，因为它们通常拥有访问权限方面的“王国钥匙”。例如，使用管理员帐户，攻击者不仅可以访问系统，还可以创建其他可能难以检测的后门和高级帐户。

According to the IBM Cost of a Data Breach Report 2021, "最常见的初始攻击向量在2021是妥协的凭证，负责20%的违规行为。"它还在继续：“由被盗/泄露的凭据导致的违规平均花费了最长的天数来识别（250）和包含（91），平均总计341天。”

识别攻击所需的时间越长，攻击的成本就越高，对企业的损害也越大，导致声誉受损和业务损失的风险就越大。

什么是密码喷洒攻击？

密码喷洒攻击与暴力攻击略有不同。在典型的暴力攻击中，攻击者尝试对单个帐户使用指数级密码来破解该帐户。通过密码喷洒攻击，攻击者可以使用相同的密码“喷洒”多个帐户。

许多企业使用Microsoft Active Directory域服务（ADDS）和帐户锁定策略。使用帐户锁定策略，管理员可以在帐户锁定指定时间之前设置失败的登录尝试次数。例如，锁定策略会配置少量失败的登录尝试，例如五次失败的登录尝试。密码喷洒的优点是，攻击者将攻击分散到多个帐户上，这有助于避免帐户锁定。

密码喷洒攻击的目标是使用一个常用密码的多个用户帐户

攻击者可能会将具有常见密码的环境作为攻击目标，这些密码是默认密码，或者在已知或违反密码列表中找到。如果攻击者将这些密码喷洒到多个用户帐户上，他们很可能会发现一个配置了已知、已被破解或默认密码的用户帐户。

防止密码喷洒攻击

任何凭证泄露无疑都是网络安全事件，公司希望不惜一切代价避免。密码喷洒是网络犯罪分子用来破坏有价值或敏感数据的攻击武器库中的另一种工具。组织可以采取哪些措施来防止密码喷洒攻击？

与许多网络安全威胁一样，没有一个“银弹”可以阻止所有类型的攻击。相反，密码安全涉及多层次的方法，包括许多缓解措施。那么，这些缓解措施包括什么？

1. 强制执行帐户锁定策略，限制错误的密码尝试
2. 有效的密码策略强制执行良好的密码卫生
3. 使用被破坏的密码保护
4. 实现多因素身份验证

1 — 强制执行帐户锁定策略，限制错误的密码尝试

如前所述，帐户锁定策略可防止攻击者在破解密码之前对帐户尝试无限多个密码。

组织可以使用帐户锁定策略配置在特定时间锁定帐户的错误密码尝试阈值。

虽然密码喷洒攻击试图绕过这种缓解措施，并且可以证明是成功的，但密码锁定策略通常是抵御暴力攻击的一条很好的防线。当前的网络安全最佳实践标准建议实施密码锁定策略。

2 — 有效的密码策略强制执行良好的密码卫生

密码策略控制环境中使用的密码的特征。由于显而易见的原因，弱密码或容易被猜到的密码对企业来说是极其危险的，尤其是恢复成本极高。

密码策略允许公司在其环境中定义密码的长度、复杂性和内容。Microsoft的Active Directory域服务允许创建当今大多数企业组织使用的基本密码策略。

但是，它在提供建议的现代密码策略功能方面受到限制，例如违反密码保护和高级密码策略功能。因此，企业必须实施第三方解决方案，以有效防止在环境中使用被破坏的密码和其他弱密码。

3 — 使用被破坏的密码保护

破解密码保护是密码凭证的一种基本网络安全保护机制。攻击者可以使用以前被破解的密码列表，试图破解组织维护的当前帐户。这是怎么回事？

攻击者知道不同的最终用户通常使用相同的密码。由于人类的天性，我们都倾向于想法相似。因此，用户倾向于使用相同类型的密码。这意味着被破解的密码列表很可能包含其他用户当前用于其用户帐户的密码。

实施违规密码保护意味着企业正在扫描其Active Directory环境，以查找在违规密码列表中找到的密码。然而，如前所述，违反密码保护不是Active Directory中固有的功能。因此，组织必须使用第三方工具来有效地实施这种保护。

4 — 实现多因素身份验证

除了具有破坏性密码保护的强密码之外，组织还可以很好地实现多因素身份验证。多因素身份验证将您知道的信息（密码）与您拥有的信息（硬件身份验证设备）结合起来。

多因素身份验证（如双因素身份验证）使攻击者更难破坏凭据。即使他们通过漏洞猜测或拥有密码，他们仍然没有进行身份验证所需的一切（第二个因素，例如硬件设备）。

现代密码保护

对于希望在其Active Directory环境中实施现代密码保护的企业，需要使用第三方工具来防止密码被破坏，并支持默认的Active Directory密码策略。通过提供更强大的密码保护，提高网络安全态势，组织可以帮助防止密码喷洒攻击。

Specops密码策略是一种解决方案，允许组织显著提高其密码安全性。它提供内置的违反密码保护，并能够实现多个密码字典，其中包括为您的企业定制的不允许密码。

最近，Specops对被破解的密码保护模块进行了更新，其中包括实时攻击数据。这意味着被破坏的密码保护可以保护您免受实际攻击中被发现的被破坏的密码。有了这项新功能，客户可以免受密码字典被破解和实时攻击。

下面说明了创建自定义词典和使用可下载词典的能力。

Specops密码策略中提供的自定义密码字典

Specops通过实时破解密码API提供强大的破解密码保护。

违反了Specops密码策略中的密码保护

收尾

凭证盗窃对组织来说是一种危险的风险，会导致代价更高、时间更长的违规事件。攻击者经常使用密码喷洒攻击来破坏具有已知密码的帐户，并避免密码锁定策略。

Specops密码政策帮助企业实施现代网络安全态势所需的最佳实践建议。它包括破解密码保护、密码字典和强大的密码策略功能，这些功能超越了Active Directory中的本机功能。

此外，该公司的密码保护服务还新增了实时攻击数据，保护企业免受当前发生的真正的密码喷射攻击。

了解有关Specops密码策略的更多信息，并在此处下载免费试用版。