La maggior parte delle persone immagina un attacco alle password come un computer che martella un solo campo di login con milioni di tentativi. Il password spraying e l'opposto, ed e proprio questo a renderlo pericoloso. Invece di molti tentativi contro un solo account, usa una password comune contro molti account - un approccio silenzioso pensato per scivolare dritto oltre le difese costruite per fermare i tentativi ordinari.
Cos'e davvero il password spraying
In un attacco di password spraying, l'aggressore parte da un elenco di nomi utente o indirizzi email - spesso facili da raccogliere perche le organizzazioni usano formati prevedibili come nome.cognome@azienda.com. Poi, invece di indovinare molte password per una sola persona, sceglie un'unica password molto comune, come Password2026! o Company@123, e la prova contro ogni account dell'elenco. Se quella fallisce, aspetta e prova una seconda password comune su tutti.
Il trucco sta nella pazienza. Le policy di lockout di solito bloccano un account dopo una manciata di tentativi falliti. Provando solo una o due password per account, lo spraying resta sotto quella soglia su ogni singolo account, cosi nulla viene bloccato e pochi allarmi scattano. L'aggressore scommette che in un gruppo abbastanza grande di persone almeno una abbia usato quella password debole e ovvia. Di solito, qualcuno l'ha fatto.
In cosa si distingue dal brute force e dal credential stuffing
Questi tre attacchi vengono confusi di continuo, ma la differenza e semplice una volta che se ne coglie la forma:
- Brute force - molte password contro un solo account. Rumoroso, fa scattare i lockout ed e sconfitto da una password lunga e casuale.
- Password spraying - una sola password contro molti account. Silenzioso, evita i lockout ed e sconfitto dal non usare password comuni (piu la MFA).
- Credential stuffing - coppie reali di nome utente e password trapelate, rigiocate su piu siti. Sfrutta il riutilizzo delle password ed e sconfitto da password uniche per ogni sito.
L'intuizione chiave: il brute force viene sconfitto dalla robustezza della password, mentre lo spraying e lo stuffing vengono sconfitti dall'unicita e imprevedibilita della password. Una password robusta che condividi uno schema comune aiuta comunque un aggressore; una unica e casuale no.

Perche funziona, e dove lo vedi
Il password spraying prospera in due condizioni: nomi utente prevedibili e almeno una password debole nella folla. Le grandi organizzazioni soddisfano entrambe le caselle, ed e per questo che e una tecnica cosi comune contro i login aziendali - Microsoft 365, i gateway VPN e i portali di single sign-on sono bersagli frequenti. Gli aggressori, compresi gruppi con molte risorse, la apprezzano perche fa poco rumore e scala: spruzza una password su migliaia di account e le probabilita dicono che alcuni andranno a segno.
Si collega anche direttamente ad attacchi che trattiamo altrove. Se vuoi la versione verticale, vedi cos'e un attacco di forza bruta; se vuoi la versione con rigioco delle violazioni, vedi cos'e il credential stuffing. Lo spraying sta a meta strada tra i due: nessun dato violato richiesto, solo password deboli e un lungo elenco di nomi.
Come fermarlo
La buona notizia e che lo stesso piccolo insieme di abitudini blocca lo spraying:
- Attiva la MFA. E la difesa singola piu importante. Anche se una password spruzzata e corretta, il login viene fermato al secondo fattore. Le campagne di password spraying riescono in stragrande maggioranza contro account senza MFA.
- Usa password uniche e non comuni. Lo spraying dipende dal fatto che le persone scelgano password da un elenco prevedibile. Un password manager genera password lunghe e casuali che non compaiono mai in quegli elenchi, cosi non c'e nulla di comune da spruzzare. E qui che un manager si ripaga.
- Per le organizzazioni: abilita uno smart lockout che individua i login falliti distribuiti in modo sottile su molti account, blocca i protocolli di legacy authentication che aggirano la MFA e monitora i login falliti distribuiti invece che solo quelli per singolo account.
Il password spraying funziona trovando l'unica password debole in una folla. La soluzione e assicurarsi che non ci sia alcuna password debole e comune da trovare - e mettere la MFA dietro ogni login, cosi che anche un tentativo fortunato non porti da nessuna parte.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Blinda i tuoi account → NordPassPassword forti e uniche · scanner di violazioni · piano gratuito→Domande frequenti
Cos'e il password spraying?
Il password spraying e un attacco in cui un criminale prende una password comune - come 'Password2026!' o 'Company@123' - e la prova contro molti account diversi, invece di provare molte password contro un singolo account. Provando solo una o due password per account, l'aggressore resta sotto la soglia di lockout che normalmente scatterebbe dopo diversi tentativi di login falliti, cosi l'attacco passa inosservato. Basta una sola persona nell'organizzazione che usa quella password debole perche l'aggressore riesca a entrare.
In cosa si distingue il password spraying dal brute force?
Il brute force lavora in verticale: molti tentativi di password contro un solo account, finche qualcosa funziona. Ecco perche fa scattare i lockout degli account ed e sconfitto da una password lunga e casuale. Il password spraying lavora in orizzontale: una sola password contro molti account. Poiche ogni account vede solo un paio di tentativi, evita del tutto i lockout. La robustezza da sola non salva un'organizzazione dallo spraying - basta un solo utente con una password debole e comune perche l'intero tentativo di login vada a segno.
In cosa si distingue il password spraying dal credential stuffing?
Il credential stuffing rigioca coppie reali di nome utente e password gia trapelate in una precedente violazione di dati, scommettendo sul riutilizzo delle password. Il password spraying non ha bisogno di alcun dato violato - abbina semplicemente un elenco di nomi utente o email (spesso facili da indovinare o pubblici) a una manciata di password molto comuni. Lo stuffing sfrutta il riutilizzo; lo spraying sfrutta password deboli e prevedibili. Entrambi sono sconfitti dalle stesse due cose: password uniche e MFA.
Dove viene usato il password spraying?
E una tecnica comune contro le organizzazioni, soprattutto i login cloud e ad accesso remoto come Microsoft 365, i portali VPN e il single sign-on. Gli aggressori, compresi alcuni gruppi con molte risorse, la preferiscono perche e silenziosa ed efficace su larga scala: spruzza una password comune su migliaia di account aziendali e alcuni corrisponderanno. Compare anche contro qualsiasi ampia superficie di login dove i nomi utente seguono uno schema prevedibile come nome.cognome.
Come mi proteggo dal password spraying?
Due difese fanno gran parte del lavoro. Primo, la MFA: anche se la password spruzzata e corretta, l'aggressore viene fermato al secondo fattore. Secondo, password uniche e non comuni - un password manager ne genera di lunghe e casuali che non compaiono mai negli elenchi di password comuni su cui si basa lo spraying. Per le organizzazioni, aggiungi uno smart lockout che rileva i login falliti distribuiti su molti account, blocca i protocolli di legacy authentication che aggirano la MFA e monitora i login falliti distribuiti.


