HomeSkydda företaget mot passwordspraying
Kvinna med dator vid vatten

Skydda företaget mot passwordspraying

Passwordspraying är en effektiv metod för dataintrång där angriparen testar utvalda lösenord mot en mängd användareFörsöken görs utifrån en lista på de mest populära och vanliga lösenord och står för ca. 16% av alla lyckade dataintrång idag. I den här bloggen beskriver vi stegen som angriparna använder för att genomföra passwordspraying samt vad du kan göra för att minimera risken för en lyckad attack mot din organisation. 

Så här går en passwordspraying-attack till 

Steg 1: Angriparen tar fram en lista med användarnamn

Angriparen börjar med en skapa en lista med konton som attacken ska ske på, vilket faktiskt är mycket lättare än vad det låter. Eftersom de flesta organisationer har en formell konvention för e-post, som förnamn.efternamn@företag.com” blir det möjligt för angripare att enkelt konstruera användarnamn och välja konton efter en lista över anställda. Ibland kan också användarnamn köpas från tidigare säkerhetsintrång. 

Steg 2: Angriparen sprayar lösenord

En lista med de vanligast använda lösenorden är ännu enklare att hitta och ta fram än användarkonton. Genom ett enkelt sök på nätet hittar man många topplistor över de mest osäkra och vanliga lösenordenHär är topp tio lösenord som används vid intrång via passwordspraying enligt Microsoft: 

  1. 123456 
  2. Password 
  3. 000000 
  4. 1qaz2wsx 
  5. a123456 
  6. abc123 
  7. abcd1234 
  8. 1234qwer 
  9. qwe123 
  10. 123qwe

 

Många använder sitt favoritsportlag eller sin arbetsplats som lösenord, vilket gör att det också finns regionala skillnader i vilka de vanligaste lösenorden är. Seahawks är ett exempel på ett populärt val av lösenord i Seattle-området som inte är lika vanligt på andra platser, samma sak med att “Sommar2019” och andra svenska ord är vanligare i Sverige än andra länder. 

När angriparen valt ut de lösenord de vill använda i attacken påbörjas intrångsförsöket och lösenorden testas successivt mot de utvalda kontona. 

Steg 3: Lyckat intrång

Så småningom kommer angriparen hitta ett lösenord som fungerar mot ett av de utvalda kontona och intrånget är ett faktum. Att angriparna endast behöver elyckad kombination av lösenord och användarnamn är det som gör det till en populär och effektiv intrångsmetod. Som vi tidigare nämnde så är ca. 16% av alla lyckade dataintrång genom just passwordspraying-attacker. Därför är det också en intrångsmetod som företag måste skydda sig mot. 

Såhär skyddar du företaget mot passwordspraying-attacker 

Skydda inloggningen med multifaktorautentisering

Vi har tidigare pratat om multifaktorautentisering (MFA) och hur det kan användas som ett extra skydd vid intrångsförsök. Även mot passwordspraying är just MFA ett alternativ som vi starkt rekommenderar då det eliminerar risken för intrång fastän angriparen skulle gissa rätt lösenord. 

Lösenord som klarar komplexitetstester behöver inte vara säkra 

Komplexitets- och utgångsregler är när man behöver uppfylla vissa krav för att skapa ett lösenord. Det kan vara att man behöver använda ett visst antal versaler och gemener och olika tecken och siffror för att ett lösenord ska klassas som säkert. Därför är det lätt att tro att lösenord som uppfyller kraven anses vara säkert och skapar en falsk känsla av trygghet.

Mer riktade och avancerade angripare använder nämligen komplexitets- och utgångsregler till sin fördel för att lista ut lösenord. T.ex. Så uppfyller lösenordet “Sommar2019!” de flesta krav på komplexitet. Men trots att det uppfyller alla krav som anges är lösenordet fortfarande osäkert. Just för att det är så pass vanligt och många andra användare använder det. Kom därför ihåg att fastän ett lösenord ser säkert ut behöver det inte vara det!

Sprid kunskapen om de mest gissade lösenorden

Även om de flesta av användarna på ditt företag inte använder de vanligaste lösenorden finns det en risk att angriparna hittar de få användare som faktiskt gör det. Se därför till att bredda kunskapen internt om vikten av att ha lösenord som inte är lätta att gissa. Men återigen, bästa skyddet är att implementera någon form av MFA då det är svårt att säkerställa att de anställdas lösenord är tillräckligt säkra. 

Se över säkerhetsnivån i ert företag

Vi har gjort ett antal filmer där vi pratar mer om MFA och andra metoder för att optimera er säkerhet. Klicka er vidare på knappen nedan för att se dem och läsa mer om hur ni höjer säkerhetsnivån i ert företag! 

Se filmerna här 

Jesper Neumann
Cloud Solution Architect, Borås
Läs mer

Fler inlägg från Jesper

Skydda företaget mot passwordspraying

Läs mer

Lösenord är fortfarande det vanligaste sättet att stjäla data

Läs mer

4 varningstecken för nätfiskeattacker att uppmärksamma

Läs mer

IT-infrastruktur

Läs mer

Vill du komma i kontakt med oss? 

Vi älskar dialoger och utmaningar. Kontakta oss så hjälper vi dig!