패스워드 스트레이 공격이 빈번하게 발생하고 있다. 요즘 유행하는 크리덴셜 스터링 공격의 일종으로 ID/PW로만 인증 하는 사이트에서 주로 발생한다.
공격 기법
- 공격자가 대량의 계정에 대해 몇 가지 일반적이거나 널리 사용되는 비밀번호를 시도하는 방식 기법은 브루트 포스(브루트포스) 공격과 유사
- 차이점은 브루트 포스 공격이 단일 계정에 대해 가능한 모든 비밀번호 조합을 시도하는 데 집중하는 반면, 패스워드 스프레이는 많은 계정에 대해 비교적 적은 수의 비밀번호(예: "123456", "password", "admin" 등)를 시도
- 패스워드 스프레이 공격의 주요 목표는 다중 인증(multi-factor authentication, MFA)이 없거나 비밀번호 정책이 약한 시스템을 이용
- 계정 잠금 정책을 우회하기 위해 설계되었으며 각 계정에 대해 한 번이나 두 번만 시도하여 여러 계정의 비밀번호를 추측. 이는 공격이 탐지되거나 계정이 잠기는 것을 방지하기 위함
방어 전략
- 강력한 비밀번호 정책 적용: 사용자가 강력하고 고유한 비밀번호를 사용
- 계정 잠금 정책 설정: 실패한 로그인 시도가 일정 횟수를 초과하면 계정을 일시적으로 잠그는 정책을 적용
- 다중 인증 사용: MFA를 적용하여 보안을 강화
- 이상 징후 탐지: 보안 시스템을 사용하여 비정상적인 로그인 시도나 패턴을 모니터링
'IT > 정보보안' 카테고리의 다른 글
| BSA (Blockchain Secure Authentication) - 블럭체인 기반 패스워드리스 보안인증 (0) | 2024.04.12 |
|---|---|
| 메타표면 (Metasurfaces) 기술과 정보보안 (0) | 2024.04.11 |
| 암호 반도체 - 해킹 막는 반도체 (0) | 2024.03.03 |
| 제로 트러스트 (Zero-Trust) (0) | 2024.02.27 |
| 큐싱 (QR 코드 피싱) (0) | 2024.02.19 |