Ein Password-Spraying-Angriff wird durchgeführt, um sich unbefugten Zugang zu einem System oder Benutzerkonten zu verschaffen. Hierbei werden einige häufig verwendete Passwörter mit einer Vielzahl von Benutzernamen oder E-Mail-Adressen ausprobiert. Diese Methode ermöglicht es den Angreifern, effektiv Schwachstellen auszunutzen und unautorisierten Zugriff zu erlangen.
In einer raffinierteren Version werden nicht zufällige Passwörter verwendet, sondern speziell Passwörter, die für andere - möglicherweise weniger geschützte und daher leichter zu hackende - Konten verwendet wurden. Diese genutzten Passwörter stammen oft aus Listen mit gehackten Passwörtern, die für wenig Geld im Dark Web erhältlich sind. Oft werden auch Variationen solcher Passwörter, einschließlich des Austauschs von Buchstaben und Zahlen, ausprobiert. Aus diesem Grund ist es in den meisten Unternehmen ausdrücklich untersagt, dieselben (oder ähnliche) Passwörter für mehrere Dienste zu verwenden.
Passwort-Spraying-Angriffe sind gefährlich, da sie oft nicht leicht zu erkennen sind. Während ein normaler Brute-Force-Angriff sehr offensichtlich ist und Kontosperrmechanismen auslösen kann, kann ein Spraying-Angriff gewissermaßen im Rauschen oftmals unbemerkt bleiben.
Es ist daher äußerst wichtig, starke und einzigartige Passwörter zu verwenden, um solche Angriffe erfolgreich abzuwehren. Wie so oft kann nur eine Kombination von Maßnahmen zuverlässig vor Passwort-Spraying schützen. Gängige Maßnahmen sind:
- Festlegung starker Passwörter,
- Implementierung einer Sperrfunktion in der IAM-Lösung,
- Verwendung eines Multi-Faktor-Authentifizierungssystems (MFA), das in den meisten Fällen als Zwei-Faktor-Authentifizierung (2FA) übersetzt wird, da zwei Faktoren verwendet werden,
- technische und organisatorische Maßnahmen (kurz: TOMs), die verhindern, dass gleiche oder ähnliche Passwörter für mehrere Dienste verwendet werden,
- Konfiguration des IAM- oder Zugangsverwaltungssystems in einer Weise, die die Verwendung von verletzten Passwörtern überprüft - und verhindert.