Credential Stuffing vs Password Spraying

Credential Stuffing vs Password Spraying

Written by Domenico Panetta

17/10/2020

Due metodi comuni utilizzati dai criminali per compromettere le credenziali degli utenti e facilitare l’account takeover (furto di account) sono il credential stuffing e il password spraying. I due termini a volte sono usati in modo intercambiabile, quindi esaminiamo le differenze.

Il credential stuffing è un tipo di attacco brute-force (forza bruta) che si basa su strumenti automatizzati per testare grandi volumi di nomi utente e password rubati su più siti finché uno non funziona. Il credential stuffing fa leva su due cose:

  1. Molte organizzazioni consentono ancora a clienti e dipendenti di utilizzare accessi solo tramite password (senza MFA).
  2. Gli utenti sono così sopraffatti dal numero di credenziali che devono utilizzare (in media fino a 200) che ricorrono al riutilizzo delle password su più account.

 

 

Il credential stuffing è molto popolare tra gli exploiters meno esperti, poiché in genere hanno poca esperienza tecnica e si affidano a strumenti di verifica account facilmente scaricabili, in grado di testare elenchi di credenziali di grandi dimensioni su vari portali di accesso per violare servizi online, sistemi e reti.

Al contrario, il password spraying è un attacco che tenta di accedere a un gran numero di siti utilizzando identificatori di account noti (usernames) con alcune password di uso comune.

A prima vista, si potrebbe mettere in dubbio l’efficacia del password spraying, basta pensare ai molti sistemi che si basano sul blocco degli account dopo N tentativi di accesso falliti, ma in realtà non impediscono di provare tutti gli account conosciuti con una singola password, che può effettivamente avere più successo, dato il numero maggiore di account coinvolti.

 

In sintesi, sebbene entrambi i metodi possano essere estremamente efficaci quando si tratta di acquisizione dell’account, la differenza fondamentale tra i due è se la password è nota per essere associata all’account o meno. Entrambi i metodi, tuttavia, possono fornire ai malintenzionati un accesso illegittimo agli account degli utenti, portando a costose frodi e danni alle aziende e relativi brand.

Molti responsabili della sicurezza dicono che il loro più grande punto cieco, è sapere se i dipendenti stanno utilizzando password personali compromesse su account di lavoro, questo è qualcosa per cui SpyCloud ha lavorato duramente per risolverlo. SpyCloud Active Directory Guardian consente di controllare gli account di AD per qualsiasi password che sia mai apparsa nel database delle violazioni di SpyCloud, composto da miliardi di password esposte e di rilevare quando i dipendenti selezionano le password che i criminali stanno attivamente utilizzando negli attacchi di credential stuffing e password spray. Non solo è possibile verificare le corrispondenze esatte delle credenziali dell’utente, ma anche variazioni fuzzy (sfocate) di tali corrispondenze, allineamento con le linee guida per le password del NIST e altro ancora. La parte migliore è che si può rimediare alle credenziali violate senza alcun effort amministrativo.

Controlla l’esposizione del tuo account personale e contattaci per una demo di SpyCloud Active Directory Guardian

Potrebbero piacerti anche questi articoli…