De Nederlandse Spoorwegen, de Universiteit van Amsterdam/Hogeschool van Amsterdam en de gemeente Altena. Drie voorbeelden van organisaties die in het recente verleden te maken kregen met password spraying, een techniek die ook wel credential stuffing wordt genoemd.
Bij password spraying gebruiken aanvallers bestaande lijsten met inloggegevens die bij eerdere datalekken naar buiten zijn gekomen. Met behulp van zogenoemde brute force proberen ze de wachtwoorden van gebruikers te raden via een geautomatiseerde aanpak. Dat gebeurt met opzet heel langzaam om geen argwaan te wekken. Bij de spoorwegen en de onderwijsinstellingen waren het echte hackers. Bij de gemeente ging het om ingehuurde hackers. In alle gevallen was de inzet van password spraying succesvol.
Password spraying is populair onder hackers. Volgens de editie 2020 van het ‘Cost of a Data Breach Report‘ van IBM en het Ponemon Institute was bijna twintig procent van alle databreaches het gevolg van zwakke of overgenomen inloggegevens. Verizon stelt in zijn ‘2020 Data Breach Report’ dat bij meer dan tachtig procent van alle aanvallen waar hacking een rol speelt, brute force-methoden zoals password spraying waren ingezet.
Darkweb
Het begint bij lijsten van gestolen gebruikersnamen die te koop zijn op het darkweb. Ook komt het voor dat hackers lijsten samenstellen op basis van het veelgebruikte patroon voornaam.achternaam@bedrijfsnaam.com. Zij halen vervolgens de namen van medewerkers van LinkedIn of andere openbare bronnen. Zij laten vervolgens veelgebruikte wachtwoorden los op deze accounts. Die wachtwoorden zijn bijvoorbeeld te vinden in jaarlijkse onderzoeken van securitybedrijven, maar ook op Wikipedia dat een lijst biedt van de tienduizend meest gebruikte wachtwoorden.
Het is moeilijk voorstelbaar maar een studie van het Amerikaanse National Cyber Security Centre uit 2019 liet zien dat wereldwijd maar liefst 23,2 miljoen accounts de combinatie 12345 gebruikten als wachtwoord. Daarnaast proberen hackers ook slimmer te werk te gaan en kunnen ze bijvoorbeeld voor accounts van inwoners van Amsterdam allerlei varianten met Ajax uitproberen.
De risico’s van password spraying zijn duidelijk. Voor de individuele werknemer of consument is er toegang tot persoonlijke en zakelijke gegevens met alle gevolgen van dien. Maar voor organisaties speelt mee dat wanneer een system administrator het slachtoffer is, de hele bedrijfsvoering in gevaar is. Dan is er potentieel toegang tot bedrijfskritische systemen en is de schade nauwelijks te overzien.
Gelaagde benadering
Hoewel password spraying aanvallen veel voorkomen, zijn ze wel te voorkomen. Een gelaagde benadering van authenticatie is de meest effectieve verdediging tegen identiteitsaanvallen. Hieronder bespreken we verschillende lagen die je kunt toepassen om de risico’s van password spraying te beperken:
- Bot-detectie
Door bot-detectie in te schakelen beperk je aanvallen door te detecteren wanneer een verzoek waarschijnlijk van een bot afkomstig is. Dit proces gebeurt vóór het aanmelden en wordt aangestuurd door een verzameling risicosignalen en beoordelaars die aanwijzingen van verdachte activiteiten identificeren voordat een verdachte aanmelding plaatsvindt. Zo kan er bij een verdachte situatie gekozen worden voor een CAPTCHA-verificatie of MFA aan te bieden om mens van bot te onderscheiden.
- Detectie van gelekte wachtwoorden
Dagelijks lekken er wachtwoorden. Daarom is het belangrijk een grote, voortdurend groeiende database bij te houden van inloggegevens waarvan bekend is dat ze zijn gecompromitteerd in datalekken. Met een functie als Breached Password Detection worden alle aanmeldingen gecontroleerd met deze database en worden gebruikers geïdentificeerd die zich aanmelden met gecompromitteerde inloggegevens.
- Passwordless authenticatie
Bij wachtwoordloze authenticatie, zoals Auth0 biedt met WebAuthn, is er geen sprake van wachtwoorden maar authenticeert de gebruiker zich via biometrie, een sms of een link die via email wordt gestuurd. Sommige experts zien deze methode als de toekomst van authenticatie omdat het de voedingsbodem voor veel huidige aanvallen wegneemt.
- Adaptieve multi-factorauthenticatie (mfa)
Mfa maakt gebruikt van een extra stap – naast gebruikersnaam en wachtwoord – om de identiteit van een gebruiker te controleren. Dit kan door middelen die alleen de gebruiker bij zich heeft (bijvoorbeeld een Smartphone), iets wat alleen de gebruiker weet (sms-ode, authenticator) of iets wat alleen de gebruiker bezit (vingerafdruk, gezichts- of stemherkenning). Adaptieve mfa maakt uw gebruikersgegevens veiliger zonder wrijving te creëren die uw gebruikers zou kunnen ontmoedigen. Het voordeel van adaptieve mfa is dat de gebruiker er enkel mee geconfronteerd wordt als er signalen zijn van een mogelijk security risico. Denk bijvoorbeeld aan onmogelijke reisbewegingen (van Amerika naar Afrika in minder dan een uur), verkeer vanuit onbetrouwbare ip’s of het gebruik van een nieuw apparaat.
Lengte van een wachtwoord
Door middel van deze vier methoden zijn de gevolgen van een aanval op basis van password spraying flink te beperken. Maar een organisatie kan meer doen om zichzelf te beschermen. Om te beginnen is het zaak om gebruikers te overtuigen van het belang van sterke wachtwoorden. Daarbij is lengte van een wachtwoord belangrijker dan complexiteit.
Verder is het belangrijk om de toegang tot kritieke systemen te beperken. Hoe meer medewerkers in de organisatie toegang hebben tot gevoelige gegevens of systemen, hoe meer mogelijkheden een cybercrimineel heeft om toegang te krijgen tot die systemen met password spraying. Stel dus regels op over toegang en geef die alleen aan mensen die het echt nodig hebben. Of nog beter, richt een geautomatiseerd ‘joiners, movers & leavers’-proces in waarin gebruikersaccounts automatisch worden gecreëerd, bijgewerkt of opgeheven.
Tot slot kan de inzet van een passwordmanager helpen om systemen veilig te houden. Een onderzoek van NordPass uit 2020 liet zien dat de gemiddelde persoon ruim honderd accounts en bijbehorende wachtwoorden gebruikt. Dat leidt gemakkelijk tot onveilig wachtwoordgedrag, zoals het gebruik van zwakke wachtwoorden of het hergebruiken van hetzelfde wachtwoord voor meerdere accounts. Wachtwoordmanagers kunnen helpen, maar ze vereisen nog steeds dat gebruikers zorgvuldig omgaan met wachtwoorden. Daarom is het volledig elimineren van wachtwoorden de toekomst. Het elimineert de risico’s van password spraying en zorgt tegelijkertijd voor een betere gebruikerservaring, wat een concurrentievoordeel is voor elk bedrijf.