导语:这些犯罪分子往往采用新技术来实施密码喷洒攻击和其他暴力破解方法。
强密码是保护用户帐户的关键——即使是已经忘记的帐户。黑客也会寻找任何方法来访问用户的环境或窃取数据,甚至利用早已被遗忘的陈旧或不活跃的帐户。
旧账户很容易被忽视,但它们仍然可以为黑客提供初始访问路线,并为他们提供扩大活动的平台。每个有权访问用户基础设施的账户都很重要。
保护测试账户
测试环境(例如在创建新软件或网站功能时生成的环境)是黑客的首要目标。犯罪分子可以利用这些帐户轻松访问数据:例如,用于开发测试环境的真实客户信息。他们甚至可以利用这些环境作为跳板,访问其他更具特权的帐户。黑客可以利用管理员或特权帐户造成更大的破坏。
当熟练的攻击者获得具有登录凭据的任何用户帐户的访问权限(即使是具有非常低访问权限的旧测试帐户)时,他们可以将其用作扩展访问权限和提升权限的平台。
例如,他们可以在具有相似权限级别的帐户之间水平移动,或者垂直跳转到具有更多权限的帐户,例如 IT 团队帐户或管理员帐户。
微软漏洞利用测试账户
今年 1 月,微软表示其公司网络遭到俄罗斯黑客的攻击。名为 Midnight Blizzard 的攻击者窃取了电子邮件和附加文件。
微软表示,只有“极小一部分”公司电子邮件账户遭到入侵,但其中确实包括高层领导以及网络安全和法律团队的员工。
攻击者使用“密码喷洒攻击”入侵,这是一种暴力破解技术,涉及对多个账户尝试相同的密码。这次攻击没有利用微软系统或产品的漏洞。
相反,这就像猜测未使用的测试帐户上的弱密码或已知被破解的密码一样简单。用该软件巨头的话来说,攻击者“使用密码喷洒攻击来破坏传统的非生产测试租户帐户并获得立足点”。
这就强调了确保所有帐户(而不仅仅是管理员或特权帐户)获得最高级别保护的重要性。
至关重要的是,企业应避免在测试账户上使用弱凭据或默认凭据;在 PoC 之后,应停用测试账户/环境;并且应正确隔离测试账户和类似环境。
如何使用强密码确保所有账户安全
那么用户可以采取什么措施来保护自己的所有帐户——即使是在非活动环境中时。
·Active Directory 审计:保持对未使用和不活跃帐户以及其他与密码相关的漏洞的可见性至关重要。
·多因素身份验证:MFA 是抵御黑客的重要防御措施,即使密码被泄露,也能为您提供额外的防御层。
防御措施越多越好,可以从双因素身份验证开始。例如,输入密码后通过一次性密码确认。然而,最强大的 MFA 不止两个步骤,可能还包括生物识别方法,例如面部扫描或指纹。
如果用户在账户(甚至是测试账户)中建立了 MFA,安全性将大大提高。但是,请注意 MFA 仍然可以被规避,密码泄露仍然是最常见的起点。
·加强密码策略:有效的密码是抵御黑客的重要第一道防线。用户·的密码策略应阻止最终用户创建包含常见基本术语或键盘行列(如“qwerty”或“123456”)的弱密码。
最好的方法是强制使用长而独特的密码或密码短语,同时使用自定义词典来阻止与特定组织和行业相关的任何术语。
升级所有帐户的密码安全性
毫无疑问,人们面对的是一群非常老练的网络犯罪分子,他们会利用任何弱点来破坏用户的系统、窃取用户的数据、造成经济损失甚至毁掉声誉。这些犯罪分子往往采用新技术来实施密码喷洒攻击和其他暴力破解方法。
然而,尽管这些技术为黑客提供了新的攻击途径,但它也是建立防御的关键。借助密码策略和密码审计器等工具,用户可以检测帐户中的漏洞,甚至是不知道的漏洞。所以,建议所有人都应该勤加利用相关安全工具以保护自己的账户。
文章翻译自:https://www.bleepingcomputer.com/news/security/why-all-accounts-even-test-accounts-need-strong-passwords/如若转载,请注明原文地址