Атаки и угрозы
Распыление паролей
Также известно как: Low-and-slow подбор
Определение
«Низкая и медленная» атака, в которой небольшой набор популярных паролей пробуется против большого числа учётных записей, не пересекая порогов блокировки и rate-limit.
Примеры
- APT в течение часа в день пробует «Spring2025!» против всех учётных записей тенанта Entra ID.
- Боты перебирают сезонные пароли против корпоративного SSL VPN, выискивая слабых пользователей.
Связанные термины
Атака полного перебора
Атака, при которой систематически перебираются все возможные значения — обычно пароли, PIN-коды или ключи — пока не будет найдено правильное.
Подстановка учётных данных
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.
Атака по словарю
Целенаправленный подбор паролей, при котором используются записи из заранее составленных списков слов, утёкших паролей и их вариаций по правилам.
Нарушенная аутентификация
Категория уязвимостей, при которой дефекты аутентификации или управления сессиями позволяют атакующему выдавать себя за легитимных пользователей или захватывать аккаунты.
Многофакторная аутентификация (MFA)
Метод аутентификации, при котором перед предоставлением доступа требуется два и более независимых фактора, обычно из разных категорий.
Password
Password — definition coming soon.