Rải mật khẩu là một loại tấn công brute force liên quan đến việc một tác nhân độc hại cố gắng sử dụng cùng một mật khẩu trên nhiều tài khoản trước khi chuyển sang thử một mật khẩu khác. Các cuộc tấn công rải mật khẩu thường có hiệu quả vì nhiều người dùng sử dụng các mật khẩu đơn giản và dễ đoán, chẳng hạn như "password" hoặc "123456", v.v.
Trong nhiều tổ chức, người dùng bị khóa sau một số lần thử đăng nhập không thành công. Vì các cuộc tấn công rải mật khẩu liên quan đến việc thử một mật khẩu đối với nhiều tài khoản, chúng tránh được việc khóa tài khoản thường xảy ra khi ép buộc thử nhiều mật khẩu đối với một tài khoản.
Một tính năng đặc biệt của rải mật khẩu – như từ "rải" ngụ ý – là nó có thể nhắm mục tiêu tới hàng nghìn hoặc thậm chí hàng triệu người dùng khác nhau cùng lúc, thay vì chỉ một tài khoản. Quá trình này thường được tự động hóa và có thể diễn ra theo thời gian để tránh bị phát hiện.
Các cuộc tấn công rải mật khẩu thường diễn ra khi ứng dụng hoặc quản trị viên trong một tổ chức cụ thể đặt mật khẩu mặc định cho những người dùng mới. Các nền tảng đăng nhập một lần và dựa trên đám mây cũng tỏ ra có thể đặc biệt dễ bị tấn công.
Mặc dù rải mật khẩu có vẻ đơn giản so với các loại tấn công mạng khác, nhưng thậm chí các nhóm tội phạm mạng tinh vi cũng sử dụng nó. Ví dụ, năm 2022, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành một cảnh báo về các tác nhân mạng được nhà nước tài trợ, liệt kê nhiều chiến thuật khác nhau mà chúng sử dụng để giành quyền truy cập vào các mạng mục tiêu – trong đó bao gồm chiến thuật rải mật khẩu.
Tấn công rải mật khẩu diễn ra như thế nào?
Thông thường, các cuộc tấn công rải mật khẩu gồm các giai đoạn sau:
Bước 1: Tội phạm mạng mua một danh sách tên người dùng để tạo danh sách của riêng chúng
Để khởi tạo một cuộc tấn công rải mật khẩu, tội phạm mạng thường bắt đầu bằng cách mua các danh sách tên người dùng – những danh sách đã được đánh cắp từ các tổ chức khác nhau. Theo ước tính, có hơn 15 tỉ thông tin đăng nhập được bán trên web tối.
Ngoài ra, tội phạm mạng có thể tạo danh sách của riêng chúng bằng cách làm theo các định dạng mà địa chỉ email của công ty tuân theo – ví dụ, firstname.lastname@companyname.com – và sử dụng một danh sách nhân viên lấy từ LinkedIn hoặc các nguồn thông tin công khai khác.
Đôi khi tội phạm mạng nhắm đến các nhóm nhân viên cụ thể như – tài chính, quản trị viên hoặc lãnh đạo cấp cao – vì tiếp cận có mục tiêu có thể mang lại các kết quả tốt hơn. Chúng thường nhắm mục tiêu vào các công ty hoặc phòng ban sử dụng giao thức đăng nhập một lần (SSO) hoặc giao thức xác thực liên bang – tức là khả năng đăng nhập vào Facebook bằng thông tin đăng nhập Google của bạn chẳng hạn – hoặc các đơn vị chưa triển khai xác thực đa yếu tố.
Bước 2: Tội phạm mạng lấy một danh sách các mật khẩu phổ biến
Các cuộc tấn công rải mật khẩu tích hợp các danh sách mật khẩu phổ biến hoặc mặc định. Việc tìm ra các mật khẩu phổ biến tương đối đơn giản – nhiều báo cáo hoặc nghiên cứu công bố chúng hàng năm và Wikipedia thậm chí còn có một trang liệt kê 10.000 mật khẩu phổ biến nhất. Tội phạm mạng cũng có thể tự nghiên cứu để đoán mật khẩu – ví dụ, bằng cách sử dụng tên của các đội thể thao hoặc địa danh nổi tiếng tại địa phương của tổ chức bị nhắm mục tiêu.
Bước 3: Tội phạm mạng thử với các tổ hợp tên người dùng/mật khẩu khác nhau
Một khi tội phạm mạng có một danh sách tên người dùng và mật khẩu, mục đích là thử chúng cho đến khi tìm ra một tổ hợp hoạt động được. Thường thì, tiến trình này được tự động hóa với các công cụ rải mật khẩu. Tội phạm mạng sử dụng một mật khẩu cho nhiều tên người dùng, và sau đó lặp lại tiến trình với mật khẩu tiếp theo trong danh sách, để tránh vi phạm các chính sách khóa hoặc trình chặn địa chỉ IP hạn chế các nỗ lực đăng nhập.
Ảnh hưởng của các cuộc tấn công rải mật khẩu
Khi kẻ tấn công truy cập một tài khoản thông qua một cuộc tấn công rải mật khẩu, chúng sẽ hy vọng rằng nó chứa thông tin có giá trị đủ để đánh cắp hoặc có đủ quyền để làm suy yếu thêm các biện pháp bảo mật của tổ chức nhằm giành quyền truy cập vào các dữ liệu thậm chí nhạy cảm hơn.
Nếu thành công, các cuộc tấn công rải mật khẩu có thể gây ra thiệt hại đáng kể cho các tổ chức. Ví dụ, một kẻ tấn công sử dụng thông tin đăng nhập rõ ràng hợp pháp có thể truy cập vào các tài khoản tài chính để thực hiện các mua hàng gian lận. Nếu không bị phát hiện, việc này có thể trở thành gánh nặng tài chính đối với các doanh nghiệp bị ảnh hưởng. Thời gian khôi phục từ một vụ tấn công mạng có thể mất một vài tháng hoặc nhiều hơn.
Cũng như việc tác động đến tài chính của tổ chức, rải mật khẩu có thể làm chậm đáng kể hoặc làm gián đoạn các hoạt động hàng ngày. Các email độc hại trong toàn công ty có thể làm giảm năng suất. Kẻ tấn công khi chiếm đoạt một tài khoản doanh nghiệp có thể đánh cắp các thông tin riêng tư, hủy bỏ các giao dịch mua hàng hoặc thay đổi ngày cung cấp dịch vụ.
Và sau đó là sự tổn hại về danh tiếng – nếu một doanh nghiệp bị vi phạm theo cách này, khách hàng sẽ giảm bớt tin tưởng về an toàn dữ liệu với công ty đó. Họ có thể chuyển hoạt động kinh doanh đi nơi khác, dẫn đến thiệt hại thêm.
Ví dụ về rải mật khẩu
"Tôi đã được yêu cầu thay đổi mật khẩu của mình khi ngân hàng của tôi trở thành mục tiêu của một cuộc tấn công rải mật khẩu. Các tác nhân độc hại có thể đã thử hàng triệu tổ hợp tên người dùng và mật khẩu đối với các khách hàng của ngân hàng – và rất tiếc, tôi là một trong số những khách hàng đó."
Rải mật khẩu so với brute force
Một cuộc tấn công rải mật khẩu sẽ cố gắng truy cập vào một lượng lớn các tài khoản bằng một vài mật khẩu phổ biến thường dùng. Ngược lại, các cuộc tấn công brute force cố gắng giành quyền truy cập trái phép vào một tài khoản duy nhất bằng cách đoán mật khẩu – thường sử dụng danh sách lớn các mật khẩu tiềm năng.
Nói cách khác, các cuộc tấn công brute force liên quan đến nhiều mật khẩu cho từng tên người dùng. Rải mật khẩu liên quan đến nhiều tên người dùng với một mật khẩu. Chúng là những cách khác nhau để thực hiện các cuộc tấn công xác thực.
Dấu hiệu của một cuộc tấn công rải mật khẩu
Các cuộc tấn công rải mật khẩu thường gây ra xác thực không thành công và thường xuyên trên nhiều tài khoản. Các tổ chức có thể phát hiện hoạt động rải mật khẩu bằng cách xem xét nhật ký xác thực để tìm lỗi đăng nhập hệ thống và ứng dụng của các tài khoản hợp lệ.
Nhìn chung, một cuộc tấn công rải mật khẩu có các dấu hiệu chính như sau:
- Một lượng lớn hành động đăng nhập trong một khoảng thời gian ngắn.
- Có sự gia tăng đột biến các lần thử đăng nhập thất bại của những người dùng đang hoạt động.
- Các đăng nhập từ các tài khoản không tồn tại hoặc không hoạt động.
Cách phòng thủ chống lại các cuộc tấn công rải mật khẩu
Các tổ chức có thể tự bảo vệ mình khỏi các cuộc tấn công rải mật khẩu bằng cách làm theo các biện pháp phòng ngừa sau đây:
Thực hiện chính sách mật khẩu mạnh
Bằng cách buộc sử dụng các mật khẩu mạnh, đội CNTT có thể giảm thiểu rủi
ro của các cuộc tấn công rải mật khẩu. Bạn có thể đọc về cách tạo một mật khẩu mạnh tại
đây.
Thiết lập phát hiện đăng nhập
Đội CNTT cũng nên thực hiện tính năng phát hiện các lần thử đăng nhập
vào nhiều tài khoản xảy ra từ một máy chủ đơn lẻ trong một thời gian
ngắn – vì đây là dấu hiệu rõ ràng của các cố gắng rải mật khẩu.
Đảm bảo chính sách khóa mạnh
Việc đặt ngưỡng phù hợp cho chính sách khóa ở mức miền sẽ phòng thủ
chống lại nạn rải mật khẩu. Ngưỡng này cần tạo ra một sự cân bằng giữa
đủ thấp để ngăn chặn kẻ tấn công thực hiện nhiều lần thử xác thực trong
khoảng thời gian khóa, nhưng không quá thấp để người dùng hợp pháp bị
khóa tài khoản của họ vì các lỗi đơn giản. Cũng cần có một quy trình rõ
ràng để mở khóa và đặt lại người dùng tài khoản đã được xác minh.
Áp dụng biện pháp không tin cậy
Nền tảng của biện phápkhông tin cậy là chỉ cung cấp
quyền truy cập vào những gì được yêu cầu tại một thời điểm nhất định để
hoàn thành nhiệm vụ trong tầm tay. Việc thực hiện biện pháp không tin
cậy trong một tổ chức là đóng góp chính cho bảo mật mạng.
Sử dụng quy ước tên người dùng không theo
chuẩn
Tránh chọn những tên người dùng dễ hiểu như john.doe hoặc jdoe – là
những phương thức phổ biến nhất cho tên người dùng – cho bất kỳ ứng dụng
nào khác ngoài email. Việc tách biệt các đăng nhập không theo chuẩn cho
các tài khoản đăng nhập một lần là cách để tránh những kẻ tấn công.
Sử dụng sinh trắc học
Để ngăn chặn kẻ tấn công khai thác các điểm yếu tiềm ẩn của loại mật
khẩu chữ số, một số tổ chức yêu cầu đăng nhập bằng sinh trắc học. Kẻ tấn
công không thể đăng nhập nếu không có mặt người.
Giám sát các mẫu
Bảo đảm rằng mọi biện pháp bảo mật được áp dụng có thể nhanh chóng xác
định các mẫu đăng nhập đáng ngờ, chẳng hạn như một lượng lớn tài khoản
đang cố gắng đăng nhập đồng thời.
Việc sử dụng một trình quản lý mật khẩu có thể giúp ích
Mật khẩu được dùng để bảo vệ thông tin nhạy cảm khỏi các tác nhân xấu. Tuy nhiên, người dùng trung bình ngày nay có quá nhiều mật khẩu, vì vậy có thể khó theo dõi tất cả chúng – đặc biệt khi mỗi tập hợp thông tin đăng nhập được cho là duy nhất.
Để cố gắng theo dõi, một số người dùng mắc lỗi sử dụng các mật khẩu dễ đoán hoặc dễ nhớ, và thường sử dụng cùng một mật khẩu cho nhiều tài khoản. Đây chính xác là loại mật khẩu dễ phải chịu các cuộc tấn công rải mật khẩu.
Trong những năm gần đây, khả năng và công cụ của kẻ tấn công đã phát triển đáng kể. Ngày nay, máy tính có khả năng đoán mật khẩu nhanh hơn nhiều. Những kẻ tấn công sử dụng tính năng tự động hóa để tấn công các cơ sở dữ liệu mật khẩu hoặc tài khoản trực tuyến. Chúng đã nắm vững các kỹ thuật và chiến lược cụ thể để mang lại nhiều thành công hơn.
Đối với người dùng cá nhân, việc sử dụng một trình quản lý mật khẩu, chẳng hạn như Kaspersky Password Manager, có thể giúp ích. Các trình quản lý mật khẩu kết hợp độ phức tạp và độ dài để cung cấp những mật khẩu khó bẻ khóa. Chúng cũng loại bỏ gánh nặng phải nhớ nhiều chi tiết đăng nhập khác nhau và hơn nữa, trình quản lý mật khẩu sẽ giúp kiểm tra xem có sự trùng lặp mật khẩu cho các dịch vụ khác nhau không. Chúng là một giải pháp thực tế giúp các cá nhân tạo, quản lý và lưu trữ thông tin đăng nhập duy nhất của họ.
Câu hỏi thường gặp về rải mật khẩu
Rải mật khẩu là gì?
Một cuộc tấn công rải mật khẩu liên quan đến một tội phạm mạng sử dụng một mật khẩu chung cho nhiều tài khoản trong cùng một ứng dụng. Điều này giúp tránh bị khóa tài khoản, việc thường xảy ra khi kẻ tấn công sử dụng một cuộc tấn công brute force vào một tài khoản bằng cách thử nhiều mật khẩu.
Sự khác nhau giữa tấn công rải mật khẩu và tấn công brute force là gì?
Một cuộc tấn công rải mật khẩu sẽ cố gắng truy cập vào một lượng lớn các tài khoản bằng một vài mật khẩu phổ biến thường dùng. Ngược lại, các cuộc tấn công brute force cố gắng giành quyền truy cập trái phép vào một tài khoản duy nhất bằng cách đoán mật khẩu – thường sử dụng danh sách lớn các mật khẩu tiềm năng. Nói cách khác, các cuộc tấn công brute force liên quan đến nhiều mật khẩu cho từng tên người dùng. Rải mật khẩu liên quan đến nhiều tên người dùng với một mật khẩu. Chúng là những cách khác nhau để thực hiện các cuộc tấn công xác thực.
Sự khác nhau giữa nhồi thông tin đăng nhập và rải mật khẩu là gì?
Trong các cuộc tấn công nhồi thông tin đăng nhập, tin tặc có quyền truy cập vào một tập hợp thông tin đăng nhập hợp lệ mà chúng sử dụng để cố gắng đăng nhập vào các tài khoản phụ. Trong các cuộc tấn công rải mật khẩu, tin tặc không có quyền truy cập vào thông tin đăng nhập đã biết. Thay vào đó, chúng cố gắng đăng nhập vào tài khoản của người dùng bằng các mật khẩu phổ biến. Các cuộc tấn công nhồi thông tin đăng nhập bao gồm việc sử dụng thông tin đăng nhập bị rò rỉ của một hệ thống nào đó để cố gắng truy cập các hệ thống khác.
Sản phẩm được khuyến cáo:
