암호 스프레이 공격 정의 및 자신 방어
승인되지 않은 계정에 액세스하기 위해 가장 일반적으로 사용되는 두 가지 방법은 (a) 무차별 대입 공격(Brute Force Attack) 및 (b) 암호 스프레이 공격(Password Spray Attack) 입니다. 우리는 이전에 무차별 대입 공격(Brute Force Attacks) 에 대해 설명 했습니다. 이 문서에서는 암호 스프레이 공격에 대해 중점적으로 다룹니다. 암호 스프레이 공격(Password Spray Attack) 은 무엇이며 이러한 공격으로부터 자신을 보호하는 방법입니다.
암호 스프레이 공격 정의
암호 스프레이 공격(Password Spray Attack) 은 무차별 대입 공격(Brute Force Attack) 과 완전히 반대입니다 . Brute Force 공격 에서 해커는 취약한 ID를 선택하고 비밀번호가 들어갈 수 있기를 바라며 차례로 비밀번호를 입력합니다. 기본적으로(Basically) Brute Force(Brute Force) 는 하나의 ID에 여러 비밀번호를 적용하는 것입니다.
암호 스프레이(Password Spray) 공격 에 대해 여러 사용자 ID(IDs) 에 적용되는 하나의 암호가 있으므로 사용자 ID 중 적어도 하나가 손상됩니다. 암호 스프레이(Password Spray) 공격의 경우 해커 는 사회 공학(social engineering) 또는 기타 피싱 방법(phishing methods) 을 사용하여 여러 사용자 ID(IDs) 를 수집합니다 . 이러한 사용자 중 적어도 한 명이 12345678 또는 [email protected] 와 같은 간단한 비밀번호를 사용하는 경우가 종종 있습니다. 이 취약점(또는 강력한 암호를 만드는 방법에 대한 정보 부족)은 (create strong passwords)암호 스프레이 공격(Password Spray Attacks) 에서 악용됩니다 .
암호 스프레이 공격(Password Spray Attack) 에서 해커 는 수집한 모든 사용자 ID(IDs) 에 대해 신중하게 구성된 암호를 적용합니다 . 운이 좋다면 해커는 컴퓨터 네트워크에 더 침투할 수 있는 한 계정에 액세스할 수 있습니다.
따라서 암호 스프레이 공격은 조직의 여러 사용자 계정에 동일한 암호를 적용하여 해당 계정 중 하나에 대한 무단 액세스를 보호하는 것으로 정의할 수 있습니다.(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)
무차별 대입 공격(Brute Force Attack) 대 암호 스프레이 공격(Password Spray Attack)
무차별 대입 공격(Brute Force Attacks) 의 문제 는 다른 암호로 특정 횟수의 시도 후에 시스템이 잠길 수 있다는 것입니다. 예를 들어, 세 번의 시도만 허용하도록 서버를 설정한 경우 그렇지 않으면 로그인이 발생하는 시스템이 잠깁니다. 시스템은 세 번의 잘못된 암호 입력에 대해서만 잠깁니다. 일부 조직에서는 3회를 허용하고 다른 조직에서는 최대 10회의 잘못된 시도를 허용합니다. 요즘 많은 웹 사이트에서 이 잠금 방법을 사용합니다. 시스템 잠금이 관리자에게 공격에 대해 경고하므로 이 예방 조치는 무차별 대입 공격(Brute Force Attacks) 의 문제입니다 .
이를 피하기 위해 사용자 ID(IDs) 를 수집 하고 가능한 암호를 적용하는 아이디어가 만들어졌습니다. 암호 스프레이 공격(Password Spray Attack) 에서도 해커가 특정 예방 조치를 취합니다 . 예를 들어 모든 사용자 계정에 password1을 적용하려고 하면 첫 번째 라운드를 마친 직후 해당 계정에 password2 적용을 시작하지 않습니다. 해킹 시도 사이에 최소 30분의 시간을 둡니다.
암호 스프레이 공격(Password Spray Attacks) 으로부터 보호
무차별 대입 공격(Brute Force Attack) 과 암호 스프레이(Password Spray) 공격 모두 관련 보안 정책이 있는 경우 중간에 중지할 수 있습니다. 30분 간격을 생략하면 시스템이 다시 잠깁니다. 두 사용자 계정의 로그인 사이에 시간 차이를 추가하는 것과 같은 다른 특정 사항도 적용될 수 있습니다. 아주 짧은 시간이라면 두 개의 사용자 계정이 로그인하는 시간을 늘리십시오. 이러한 정책은 관리자에게 경고하는 데 도움이 됩니다. 그런 다음 누가 서버를 종료하거나 잠가서 데이터베이스에서 읽기-쓰기 작업이 발생하지 않도록 할 수 있습니다.
암호 스프레이 공격(Password Spray Attacks) 으로부터 조직을 보호하는 첫 번째 일은 사회 공학 공격, 피싱 공격의 유형 및 암호의 중요성에 대해 직원을 교육하는 것입니다. 그렇게 하면 직원이 계정에 대해 예측 가능한 암호를 사용하지 않습니다. 또 다른 방법은 관리자가 사용자에게 강력한 암호를 제공하여 사용자가 암호를 메모해 두고 컴퓨터에 붙이지 않도록 주의할 필요가 있다고 설명하는 것입니다.
조직 시스템의 취약점을 식별하는 데 도움이 되는 몇 가지 방법이 있습니다. 예를 들어 Office 365 Enterprise 를 사용하는 경우 (Enterprise)Attack Simulator 를 실행 하여 직원 중 취약한 암호를 사용하고 있는지 확인할 수 있습니다.
다음 읽기(Read next) : 도메인 프론팅(Domain Fronting) 이란 무엇입니까 ?
Related posts
Password 리셋 오류 -이 기능은 이동식 미디어를 필요로
Microsoft Account and Local Account에 Password Expiration Date을 설정하십시오
Browser show를 Password Text로 저장하는 방법
LessPass는 무료 Password Generator and Manager입니다
Bitwarden Review : Windows PC에 대한 무료 Open Source Password Manager
Microsoft Authenticator을 새로운 전화로 이동하는 방법
Google account 암호를 변경하는 방법
Password Strength Checker Tools Password의 Strength를 확인하십시오
Click Windows 11에서 가장 최근의 자격 증명 메시지를 입력하려면 다음을 수행하십시오
Reset Windows Password Recover 내 Password Home Free
Outlook Windows 10에서 암호를 저장하지 않습니다
Windows 10 Installation Media을 사용하여 Reset Local Account password
Dashlane Free : 로그인 및 온라인 거래를 자동화합니다
NordPass Password Manger는 개인 데이터의 안전을 유지
Zoho Vault Password Manager Free Version & Chrome & Firefox extension
Chrome, Firefox or Edge browser에서 암호를 저장하는 것이 안전합니까?
F-Secure KEY : Windows 10 용 Password Manager freeware
Google Passwords Manager에서는 암호에 안전하게 액세스 할 수 있습니다
Recover Mail 클라이언트의 암호 : Mail Password Decryptor
피해야 할 가장 일반적인 10 개의 암호 10 개