Распыление пароля относится к методу атаки. Который принимает большое количество имен пользователей и зацикливает их с помощью одного пароля. Можно использовать несколько итераций, используя несколько разных паролей. Но количество попыток ввода пароля обычно невелико по сравнению с количеством попыток пользователя. Этот метод позволяет избежать блокировок паролем. И он часто более эффективен для обнаружения слабых паролей, чем для конкретных пользователей.
Для успеха атаки паролем необходим хороший список паролей. Можно использовать определенные инструменты, такие как CEWL. Для создания списков конкретных целей в соответствии, используя слова с веб-сайтов или придумать свой собственный метод. В прошлом был большой успех, используя MonthYear, welcome1 и organization1, а также простые пароли, такие как qwerty12345…
Распыление пароля относится к методу атаки
Плохие парни (или пентестеры) обычно, после успешного получения списка действительных пользователей от действительных контроллеров домена. Используют свои знания общих паролей и пробуют ОДИН тщательно продуманный пароль против ВСЕХ известных учетных записей пользователей. (Один пароль для многих учетных записей). Если атака не удалась с первой попытки, то злоумышленники попытаются снова использовать другой пароль. Как правило, ожидая около нескольких минут или около того между попытками, чтобы не вызывать какие-либо пороги блокировки учетной записи на основе времени.
Атаки с использованием паролей стали излюбленным приемом как злоумышленников, так и пентестеров. Поскольку они оказались очень эффективными для продвижения по сети после того, как установили точку опоры внутри. Многие организации действительно уязвимы для атаки паролем. Потому что они либо хранят слабый пароль, либо используют пароль, который может быть легко угадан злоумышленниками.
