Password-Spraying
detaillierte erklärung
Password-Spraying ist eine Credential-Stuffing-Technik, die Account-Lockout-Mechanismen umgeht. Statt viele Passwörter gegen einen Account zu testen (triggert Lockout), testet man ein gängiges Passwort gegen viele Accounts. Beispiel: Password123 gegen 10.000 Usernames probieren. Statistisch findet man 1-5% Treffer (Menschen nutzen schwache Passwörter). Ablauf: 1) Username-Enumeration (oft via OSINT, LinkedIn, leaked Databases). 2) Top-Passwort-Liste (Password123, Welcome1, Company2024). 3) Langsames Spraying (1 Versuch pro Account/Stunde → kein Lockout). Ziele: Corporate-Accounts (Office365, VPNs), Cloud-Services (AWS, Azure). Tools: CrackMapExec, Spray (für Office365), Hydra. Schutzmaßnahmen: Rate-Limiting pro IP (nicht pro Account), MFA (verhindert Login trotz Passwort-Kenntnis), Anomaly-Detection (viele Logins für verschiedene Accounts von einer IP), starke Default-Passwort-Policies.
warum ist das wichtig?
Password-Spraying ist bevorzugte Technik für Corporate-Account-Kompromittierung - du musst verstehen, warum Account-Lockout allein nicht reicht. Essentiell für Red-Team-Operationen und Enterprise-Security-Audits.
häufige fehler
- ⚠Password-Spraying = Brute-Force - Nein, Spraying nutzt wenige Passwörter gegen viele Accounts, Brute-Force umgekehrt
- ⚠Account-Lockout stoppt Spraying - Nein, Spraying vermeidet Lockout (nur 1-2 Versuche pro Account)
- ⚠Nur externe Logins sind anfällig - Nein, auch interne (AD, VPN) via Domain-Joined-Machines