近年来，随着数据重要性的逐步提高，以及各种工具技术的产品化，APT（Advanced Persistent Threat，定向威胁攻击）这种利用先进的攻击手段长期、有计划性和组织性地对特定目标进行窃取数据的行为正越来越泛滥。境外各类政府背景APT黑客组织不断加强对我国网络攻击，攻击来源众多、频次和烈度日益增强，窃取了大量重要敏感信息。APT入侵客户的途径多种多样，包括钓鱼软件、漏洞攻击等等。近期，一种称为“密码喷洒”的攻击手段正在被广泛使用。

　　“密码喷洒”（Password Spraying）是指利用单个常用或精心构造的密码对多个账户进行登录尝试，然后如此往复多次，直至成功获取账号密码。具体来说，攻击可以分为以下步骤。

　　第一步，黑客组织需要构建一个账号集。一般而言，可以在网络上收集特定组织的各种类型的公开信息，包括账号等等，在公开的招聘、公告信息等等寻找蛛丝马迹，获取这个组织的各类账号的信息。甚至有的时候无需获取实际的账号，可以通过获得的已知的账号中明确存在某种规律来生成账号。

　　接下来，黑客组织要构造一个密码集。密码集中包含的首先是弱密码，即容易破译的密码，多为简单的数字组合、账号相同的数字组合、键盘上的临近键或常见姓名，甚至于初始密码等等。此外，“机构名”+“电话号码”等密码看似复杂，但也很容易被列入黑客构造的密码集中。

　　这个时候，黑客组织已经集齐账号集和密码集，下一步就可以正式开展“密码喷洒”的攻击了。黑客组织使用专用的工具，先用第一个密码，逐一对所有的账号进行登录尝试，在失败之后，再换第二个密码，如此反复。实际上，在第一个尝试成功的账号起，“密码喷洒”攻击已经完成了，而黑客组织窃取信息的动作才刚刚开始。“密码喷洒”往往只是在攻击初期获取突破口的一种手段，通过这种方式寻找一个攻击的发起点。下一步，黑客会通过获取的账号密码潜伏下来，化身一个数据“间谍”，不断进行侦察、数据窃取和渗透，直至获取想要的信息。由于“密码喷洒”的攻击隐蔽性很强，很多被侵入的系统难以及时察觉，往往需要潜伏数月后才能发现，造成严重损失。

　　“密码喷洒”的原理十分简单，但是从目前公开的结果来看，“密码喷洒”的战果斐然，许多大型企业因此惨遭滑铁卢。2019年，美国软件及云端运算科技大厂 Citrix 遭黑客集团攻击，有超过6TB以上的资讯、信件及机密遭窃取，其中最大的受害者，包括发包给Citrix进行网络情资专案的白宫、FBI及其它美国军方单位。而从公开的信息来看，黑客组织用来突破Citrix 防线的，正是“密码喷洒”这一手段。

　　“密码喷洒”之所以屡屡奏效，从技术的角度而言，是由于目前的密码锁定策略，往往是对短期内多次尝试登录失败的账号进行锁定，而“密码喷洒”对单个账户而言，登录尝试间隔较长，因此能够有效规避一般的账户锁定策略。除了技术原因，以下三方面因素，也为“密码喷洒”的广泛使用提供了环境。

　　一是弱密码的广泛存在。弱密码在各行各业都广泛存在，根据国外机构分析表示，目前科技、金融、医疗、能源、电信、零售、工业、运输、航空和国防等各行业的弱密码均占30%以上，甚至不少相似的弱密码是因为未改变默认密码导致。

　　二是多因素身份验证机制的缺失。多因素身份验证是指在密码验证的基础之外，增加其他的验证因素，例如目前常用的手机短信验证码、面部识别等等。通过设置多因素身份验证，可有效防御大多数类似“密码喷洒”的自动化密码猜测攻击。据微软工程师统计，微软追踪到的99.9%受感染的账户都是因为没有启用多因素身份验证。目前，手机移动端广泛使用了多因素身份认证，但是在电脑端使用多因素身份认证的方式依然未能广泛推广。

　　三是网络安全中的“木桶原理”。一个系统的整体安全水平往往由安全级别最低的部分所决定，往往单一用户使用弱密码和不采取多因素身份验证的行为，就可以对整个系统的安全带来极大的挑战。黑客组织所寻求的，是在系统中存在的薄弱点。当一个系统越大，出现个别人员不按照密码规范进行设置的概率就越大，使用“密码喷洒”攻击的成功率也就越高。

　　从以上的分析可以看到，“密码喷洒”的防范可以从以下几个方面入手。

　　对于系统维护和安全部门而言，一是要进一步强化账号登录检测，加强对整体登录失败率明显上升、存在大量错误的用户名等现象的审查力度，对可能被攻击成功的账号进行密码重置；二是要进一步严格执行合理的密码安全策略，制定完善弱密码杜绝、密码定期更换、密码锁定以及多因素身份验证机制等安全策略；三是要加强全体用户的密码安全培训，全面杜绝使用弱密码等行为，全面提高用户的安全防范意识，确保堵塞漏洞。

　　对于用户个人而言，最简单的方法，无非就是修改自己目前还在使用的弱密码和“单位+电话”等看似复杂却容易被猜测出来的密码。此外，开启多因素身份验证机制等选项，也能够很好提高账号安全性。在明白使用弱密码的危害性后，相信有大部分的人能及时修改账号密码，但是依然会有个别人心存侥幸。而“密码喷洒”的攻击，恰恰就是针对这部分心怀侥幸的人。人性的弱点，才是任何安全系统真正的漏洞所在。

参考文献：

[1]时讯浏览（微软：99.9%被入侵账户未启用多因素身份验证）；保密科学技术；2020年3月（总第114期）；

[2] Michael Heller；Citrix数据泄露事故归咎于低强度密码；http://searchsecurity.techtarget.com.cn/11-26282/。

从化区委办    吴越滨