web-dev-qa-db-fra.com

Quelles sont les différences entre le bourrage d'informations d'identification et la pulvérisation de mots de passe?

Wikipédia décrit le bourrage des informations d'identification comme

un type de cyberattaque où les informations d'identification de compte volées se composant généralement de listes de noms d'utilisateur et/ou d'adresses e-mail et des mots de passe correspondants (souvent en raison d'une violation de données) sont utilisées pour obtenir un accès non autorisé aux comptes d'utilisateurs via une connexion automatisée à grande échelle. Les attaques de bourrage d'informations d'identification sont rendues possibles car de nombreux utilisateurs réutilisent le même mot de passe sur de nombreux sites

Fait intéressant, il ne semble pas y avoir article Wikipedia sur la pulvérisation de mots de passe. Double Octopus le décrit comme

La pulvérisation de mots de passe est une attaque qui tente d'accéder à un grand nombre de comptes (noms d'utilisateur) avec quelques mots de passe couramment utilisés. La pulvérisation par mot de passe est une attaque qui tente d'accéder à un grand nombre de comptes (noms d'utilisateur) avec quelques mots de passe couramment utilisés .

Il semble que la pulvérisation de mots de passe et le remplissage d'informations d'identification soient similaires dans les objectifs et l'approche. La différence discrète entre les termes n'est pas claire. Y en a-t-il et si oui, quels seraient-ils?

passwordscredential-reuse
41
Motivated
  • Remplissage des informations d'identification - utilisez un tas de noms d'utilisateur et de mots de passe qui sont connus pour leur être associés pour essayer d'accéder à plusieurs sites
  • Pulvérisation de mot de passe - utilisez une liste de noms d'utilisateur et certains mots de passe courants (qui ne sont pas connus pour avoir été utilisés par quelqu'un avec les noms d'utilisateur envoyés) pour essayer d'accéder à un seul site

La principale différence est de savoir si le mot de passe est connu pour être associé au compte ou non, et si l'attaque vise à accéder à un seul site ou à plusieurs sites.

70
Matthew
  • Credential Stuffing - est un type d'attaque qui repose sur les utilisateurs qui réutilisent la même combinaison de mot de passe et de nom d'utilisateur dans différentes applications, où au moins une application est compromise. Par exemple: dites que StackExchange a été compromis et que mon compte et mon mot de passe ont été divulgués. Ensuite, un attaquant pourrait rechercher dans d'autres sites de médias sociaux des utilisateurs portant le nom MeowCat et essayer le mot de passe divulgué qu'ils ont obtenu sur le site StackExchange compromis.
  • pulvérisation par mot de passe - est un type d'attaque par dictionnaire " par force brute " qui est principalement utilisée sur les applications où les comptes sont verrouillés après un nombre défini de tentatives de connexion incorrectes. La pulvérisation de mot de passe utilise des noms d'utilisateur connus/inconnus (devinés) et essaie une petite quantité de mots de passe très courants afin qu'ils ne soient pas verrouillés. Par exemple: Si un programme verrouille un compte après 5 suppositions incorrectes, alors si vous devinez 5 fois de manière incorrecte, il est inutile de continuer à deviner, car même si vous obtenez le mot de passe correct, vous ne accéder. C'est pourquoi un spray de mot de passe ne tentera au maximum que les 5 mots de passe les plus courants (dans ce cas) pour n'importe quel compte et passera à un autre compte (bien qu'ils n'utilisent généralement que 4 et n'utilisent pas 5 car le site peut devenir suspect si tous leurs utilisateurs sont verrouillés).
25
meowcat

Je pense que tout le monde l'a dit clairement, je ne donne que des exemples pratiques sur le terrain.

bourrage des informations d'identification

Ce type d'attaque est démarré via des informations d'identification de compte divulguées acquises auprès d'une source exposée (par exemple, exposé par un mauvais site Web, piratage, etc.). Haved I been pwned a une énorme base de données de comptes exposés à télécharger par un chercheur.

Pour lancer l'attaque, l'attaquant utilise simplement un script pour parcourir ces informations d'identification d'utilisateur exposées et essayer de l'utiliser contre n'importe quel réseau social ou plate-forme de services importante pour y accéder. Par exemple, un attaquant obtient une liste des fuites de mot de passe du site Web XYZ, où l'utilisateur "JoeTiger" utilise le mot de passe "Meow @ 1234 @ 7890". L'attaquant utilise ensuite simplement ces informations pour construire une série de noms de compte avec le nom d'utilisateur, par ex. [email protected], [email protected], etc. avec le même mot de passe.

Ensuite, l'attaquant utilisera ce nom d'utilisateur généré (et le mot de passe mentionné) et tentera de se connecter à tous les comptes de services Web potentiels, par exemple Amazon, Gmail, Linkedin, Netflix, Quara, Quicken etc. en utilisant le mot de passe "Meow @ 1234 @ 7890" même si l'utilisateur ne peut pas utiliser ces services.

Pulvérisation par mot de passe

Ce type d'attaque utilise les mots de passe les plus fréquemment utilisés contre les comptes 10 000 mots de passe les plus courants . Pour lancer l'attaque, l'attaquant acquiert simplement n'importe quelle liste d'adresses e-mail active (cela peut être acheté sur darknet/piratage/téléchargement à partir de systèmes exposés), puis ils utilisent un script qui force/fait défiler le mot de passe à travers toutes les listes de comptes jusqu'à ce qu'il obtient l'accès.

Efficacité Des services Web importants comme Amazon, Google, etc. imposent des limites de connexion, ce qui rend les attaques par force brute moins susceptibles d'être effectuées sur ces services. Pour empêcher un blocage immédiat de la limite de connexion. Ces attaques sont principalement effectuées à partir d'une machine infectée, c'est-à-dire Botnet pour propager l'attaque.

7
mootmoot