У распыления паролей и подстановки учетных данных много общего, но главное различие между ними заключается в том, как осуществляется атака. При подстановке учетных данных злоумышленники уже имеют набор проверенных учетных данных, а при распылении паролей им приходится угадывать учетные данные, сопоставляя список имен пользователей с часто используемым паролем.
Читайте дальше, чтобы узнать больше о распылении паролей и подстановке учетных данных, о разнице между ними и о том, как защититься от подобных атак.
Что такое распыление паролей?
Распыление паролей — это тип атаки методом подбора, когда злоумышленники сопоставляют часто используемые пароли со списком проверенных имен пользователей, пока не найдут совпадение. С помощью распыления паролей злоумышленники могут избежать ограничения на количество попыток входа в систему и блокировки учетных записей, используя один и тот же пароль для разных учетных записей. Они охотятся на пользователей с плохими привычками в создании паролей. К ним относятся создание ненадежных и предсказуемых паролей для защиты учетных записей в Интернете.
При распылении паролей злоумышленники сначала получают список имен пользователей из онлайн-каталогов, даркнета или других открытых источников. Затем они составляют список часто используемых паролей и запускают автоматическую программу для подбора пароля к списку имен пользователей, пока не получат как можно больше совпадений. После проверки всего списка имен пользователей с применением первого пароля злоумышленники повторяют процесс, используя другой пароль.
Что такое подстановка учетных данных?
Подстановка учетных данных — это еще один тип атаки методом подбора, когда злоумышленники крадут или покупают набор проверенных учетных данных для входа в систему и используют их для получения доступа к нескольким учетным записям. При этом злоумышленники полагаются на повторное использование одного и того же пароля для нескольких учетных записей. Отчет Keeper о практике создания паролей в США за 2022 год показал эффективность подстановки учетных данных. Так, согласно ему повторно используют пароли 56% пользователей.
Злоумышленники часто получают набор учетных данных в результате утечек данных, предыдущих кибератак или в даркнете. Получив проверенные учетные данные, злоумышленники вводят их на нескольких платформах с помощью автоматизированного средства, чтобы получить доступ к этим учетным записям. Иногда злоумышленники используют незначительные вариации учетных данных, чтобы получить доступ к другим учетным записям пользователя.
Разница между распылением паролей и подстановкой учетных данных
Распыление паролей и подстановка учетных данных — это типы атак методом подбора, которые могут нанести ущерб пользователям. Если атаки с распылением паролей и подстановкой учетных данных окажутся успешными, они могут привести к захвату учетных записей, когда злоумышленники получают полный контроль над учетными записями пользователей, чтобы использовать их в своих интересах. Таким образом, злоумышленники получают доступ к личным сведениям жертвы, которые можно задействовать для кражи личности и других видов мошенничества.
Однако распыление паролей и подстановка учетных данных различаются по способам получения несанкционированного доступа. При подстановке учетных данных злоумышленники уже имеют проверенный набор учетных данных, которые можно использовать для доступа к нескольким учетным записям одного пользователя. При распылении паролей у злоумышленников нет набора учетных данных, и они должны угадывать их, сопоставляя часто используемые пароли со списком имен пользователей. При распылении паролей злоумышленники атакуют нескольких пользователей, а не одного.
Как предотвратить распыление паролей и подстановку учетных данных?
Распыление паролей и подстановку учетных данных можно легко предотвратить, соблюдая гигиену паролей. Под гигиеной паролей понимают рекомендации и привычки в отношении обеспечения безопасности паролей. Вот несколько способов того, как можно предотвратить распыление паролей и подстановку учетных данных.
Используйте надежные и уникальные пароли
Распыление паролей нацелено на пользователей, которые используют ненадежные и предсказуемые пароли для защиты учетных записей в Интернете. Чтобы пароли не смогли угадать при распылении, следует создавать надежные пароли для защиты учетных записей в Интернете. Надежный пароль — это случайная комбинация прописных и строчных букв, цифр и специальных символов длиной не менее 16 знаков. Он не содержит личной информации, цифр и букв, идущих по порядку, а также общеупотребительных словарных слов.
Подстановка учетных данных нацелена на пользователей, которые повторно используют пароли для нескольких учетных записей. Чтобы предотвратить подстановку учетных данных и защитить учетные записи от злоумышленников, нужно использовать уникальный пароль для каждой учетной записи и избегать его повторного использования. Это позволит предотвратить как подстановку учетных данных, так и распыление паролей, что затруднит злоумышленникам взлом паролей.
Включите многофакторную аутентификацию
Многофакторная аутентификация — это протокол безопасности, который требует предоставления дополнительных форм аутентификации. Чтобы получить доступ к учетной записи, пользователи должны предоставить учетные данные и хотя бы одну дополнительную форму проверки, такую как одноразовый пароль на основе времени (TOTP). Многофакторная аутентификация обеспечивает дополнительную защиту и гарантирует, что доступ к вашей учетной записи будет только у авторизованных пользователей. Даже если ваши учетные данные будут скомпрометированы, злоумышленники не смогут войти в вашу учетную запись, поскольку она защищена многофакторной аутентификацией, не предусматривающей других факторов аутентификации.
Храните пароли в менеджере паролей
Менеджер паролей — это инструмент, который надежно хранит ваши пароли и управляет ими в зашифрованном хранилище. Благодаря менеджеру паролей вы сможете отслеживать все пароли и получать доступ к ним в любое время. Ваше цифровое хранилище защищено несколькими уровнями шифрования, и доступ к нему возможен только с помощью надежного мастер-пароля. Менеджер паролей также обеспечивает защиту всех ваших паролей, выявляя ненадежные или повторно используемые пароли и предлагая вам улучшить их с помощью встроенного генератора паролей.
Злоумышленники могут найти ваши учетные данные в даркнете и использовать их для атак с распылением паролей или подстановкой учетных данных. Чтобы предотвратить распыление паролей и подстановку учетных данных, следует приобрести средство мониторинга даркнета.
Мониторинг даркнета — это инструмент, который сканирует даркнет и отслеживает конкретную личную информацию, такую как учетные данные. Если средство мониторинга даркнета найдет скомпрометированную информацию, оно предупредит вас и предложит принять меры, например сменить пароли, прежде чем злоумышленники смогут получить несанкционированный доступ.
Включите уведомления о попытках входа в систему
Чтобы знать, когда неавторизованные пользователи пытаются получить доступ к вашим учетным записям, следует включить уведомления о попытках входа в них. Такие уведомления будут предупреждать вас о том, что кто-то пытался войти в вашу учетную запись или что недавно в нее вошел неизвестный пользователь. Так, вы будете знать, что злоумышленники атакуют вас с помощью атаки методом подбора, и сможете немедленно принять меры.
Изучайте информацию о киберугрозах
Злоумышленники используют различные кибератаки для кражи ваших учетных данных, которые они могут задействовать для распыления паролей и подстановки учетных данных. Чтобы распознать и избежать их, необходимо изучать информацию о различных типах кибератак.
Чтобы обманом заставить пользователей раскрыть учетные данные, злоумышленники часто используют фишинг. Они отправляют электронные письма или текстовые сообщения с вредоносным вложением или ссылкой, выдавая себя за знакомое лицо, например представителя реальной компании. Если пользователь нажмет на такую ссылку, он либо установит вредоносное ПО на свое устройство, либо попадет на поддельный веб-сайт. На поддельном веб-сайте пользователю будет предложено ввести учетные данные, что приведет к их компрометации.
Защитите пароли с помощью Keeper®
Распыление паролей и подстановка учетных данных могут иметь пагубные последствия для пользователей, которые создают ненадежные пароли или повторно используют их. Однако подобных атак можно легко избежать, если защитить учетные записи в Интернете с помощью надежных и уникальных паролей и включить многофакторную аутентификацию. Среднестатистическому пользователю нужно помнить около 20 паролей. Самостоятельно создать надежный и уникальный пароль для каждой учетной записи крайне сложно. Чтобы максимально защитить учетные записи, следует использовать менеджер паролей.
Keeper Password Manager — это решение с нулевым доверием и нулевым разглашением. Оно гарантирует, что доступ к вашей личной информации будет только у вас. Keeper позволит вам легко управлять паролями на любом устройстве и упростит вход в систему с помощью KeeperFill.