攻击与威胁
密码喷洒攻击
别称: 低频喷洒
定义
低速广撒网式攻击:用少量常见密码尝试大量账户,以避开账户锁定和速率限制阈值。
密码喷洒颠覆了传统暴力破解模式:不再为单个账户尝试大量密码,而是用同一条密码(例如 "Winter2025!"、"P@ssw0rd")遍历整个用户目录,再换下一条。这种方式可以避免单账户锁定,同时由于真实组织中总有相当数量的弱口令,因此命中率不低。它是攻击云身份提供商(Microsoft Entra ID、Okta)和 VPN 门户的常用手段。防御措施包括禁用常见与已泄露密码、智能锁定与基于风险的 MFA、条件访问、地理/IP 分析,以及对 "一条密码大量账户" 这种高扇出认证模式的告警。
示例
- APT 每天某固定时段以 "Spring2025!" 喷洒整个 Entra ID 租户。
- 机器人轮流尝试季节性密码,寻找企业 SSL VPN 的弱口令用户。