A maioria das pessoas imagina um ataque a palavras-passe como um computador a martelar uma caixa de login com milhoes de tentativas. O password spraying e o oposto, e e exatamente isso que o torna perigoso. Em vez de muitas tentativas contra uma conta, usa uma palavra-passe comum contra muitas contas - uma abordagem silenciosa concebida para passar diretamente pelas defesas criadas para travar as tentativas comuns.
O que e realmente o password spraying
Num ataque de password spraying, o atacante comeca com uma lista de nomes de utilizador ou enderecos de email - muitas vezes faceis de reunir porque as organizacoes usam formatos previsiveis como nome.apelido@empresa.com. Depois, em vez de adivinhar muitas palavras-passe para uma pessoa, escolhe uma unica palavra-passe muito comum, como Password2026! ou Company@123, e testa-a contra todas as contas da lista. Se essa falhar, esperam e tentam uma segunda palavra-passe comum contra toda a gente.
O truque e a paciencia. As politicas de lockout costumam bloquear uma conta apos algumas tentativas falhadas. Ao tentar apenas uma ou duas palavras-passe por conta, o spraying mantem-se abaixo desse limite em cada conta, por isso nada e bloqueado e poucos alarmes disparam. O atacante aposta que, num grupo de pessoas suficientemente grande, pelo menos uma usou essa palavra-passe fraca e obvia. Normalmente, alguem usou.
Como difere do brute force e do credential stuffing
Estes tres ataques sao confundidos constantemente, mas a diferenca e simples assim que se percebe o formato de cada um:
- Brute force - muitas palavras-passe contra uma conta. Barulhento, aciona bloqueios e e travado por uma palavra-passe longa e aleatoria.
- Password spraying - uma palavra-passe contra muitas contas. Silencioso, evita bloqueios e e travado ao nao usar palavras-passe comuns (mais MFA).
- Credential stuffing - pares reais de nome de utilizador e palavra-passe vazados, reutilizados em varios sites. Explora a reutilizacao de palavras-passe e e travado por palavras-passe unicas por site.
A ideia-chave: o brute force e derrotado pela forca da palavra-passe, enquanto o spraying e o stuffing sao derrotados pela unicidade e imprevisibilidade da palavra-passe. Uma palavra-passe forte que partilha um padrao comum continua a ajudar um atacante; uma unica e aleatoria nao.

Porque funciona, e onde o encontra
O password spraying prospera em duas condicoes: nomes de utilizador previsiveis e pelo menos uma palavra-passe fraca no meio da multidao. As grandes organizacoes cumprem ambos os requisitos, e por isso e uma tecnica tao comum contra logins empresariais - Microsoft 365, gateways VPN e portais de single sign-on sao alvos frequentes. Os atacantes, incluindo grupos com bons recursos, gostam dele porque e pouco ruidoso e escala: espalhe uma palavra-passe por milhares de contas e as probabilidades dizem que algumas vao acertar.
Tambem se relaciona diretamente com ataques que abordamos noutros artigos. Se quiser a versao vertical, veja o que e um ataque de forca bruta; se quiser a versao de reutilizacao de fugas, veja o que e credential stuffing. O spraying situa-se entre os dois: nao exige dados de fugas, apenas palavras-passe fracas e uma longa lista de nomes.
Como impedi-lo
A boa noticia e que o mesmo pequeno conjunto de habitos poe fim ao spraying:
- Ative a autenticacao multifator (MFA). Esta e a maior defesa isolada. Mesmo que uma palavra-passe espalhada esteja correta, o login e travado no segundo fator. As campanhas de password spraying tem sucesso esmagadoramente contra contas sem MFA.
- Use palavras-passe unicas e nao comuns. O spraying depende de as pessoas escolherem palavras-passe de uma lista previsivel. Um gestor de palavras-passe gera palavras-passe longas e aleatorias que nunca aparecem nessas listas, por isso nao ha nada comum para espalhar. E aqui que um gestor prova o seu valor.
- Para as organizacoes: ative smart lockout que detete logins falhados espalhados de forma tenue por muitas contas, bloqueie os protocolos de legacy authentication que contornam o MFA, e monitorize as falhas de login distribuidas em vez de apenas as de cada conta.
O password spraying funciona ao encontrar a unica palavra-passe fraca no meio da multidao. A solucao e garantir que nao ha nenhuma palavra-passe fraca e comum para encontrar - e colocar MFA por tras de cada login para que ate uma tentativa com sorte nao va a lado nenhum.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Proteja as suas contas → NordPassPalavras-passe fortes e únicas · scanner de fugas · plano gratuito→Perguntas frequentes
O que e o password spraying?
O password spraying e um ataque em que um criminoso pega numa palavra-passe comum - como 'Password2026!' ou 'Company@123' - e a testa contra muitas contas diferentes, em vez de tentar muitas palavras-passe contra uma unica conta. Ao tentar apenas uma ou duas palavras-passe por conta, o atacante mantem-se abaixo do limite de lockout que normalmente seria acionado apos varios logins falhados, por isso o ataque passa despercebido. Basta uma pessoa numa organizacao usar essa palavra-passe fraca para o atacante conseguir entrar.
Em que e que o password spraying difere do brute force?
O brute force funciona na vertical: muitas tentativas de palavra-passe contra uma conta, ate algo funcionar. E por isso que aciona bloqueios de conta e e travado por uma palavra-passe longa e aleatoria. O password spraying funciona na horizontal: uma palavra-passe contra muitas contas. Como cada conta so ve algumas tentativas, evita completamente os bloqueios. So a forca nao salva uma organizacao do spraying - basta um utilizador com uma palavra-passe fraca e comum para toda a tentativa de login ter sucesso.
Em que e que o password spraying difere do credential stuffing?
O credential stuffing reutiliza pares reais de nome de utilizador e palavra-passe que ja foram vazados numa fuga de dados anterior, apostando na reutilizacao de palavras-passe. O password spraying nao precisa de quaisquer dados vazados - apenas combina uma lista de nomes de utilizador ou emails (muitas vezes faceis de adivinhar ou publicos) com um punhado de palavras-passe muito comuns. O stuffing explora a reutilizacao; o spraying explora palavras-passe fracas e previsiveis. Ambos sao derrotados pelas mesmas duas coisas: palavras-passe unicas e MFA.
Onde e usado o password spraying?
E uma tecnica comum contra organizacoes, sobretudo em logins na cloud e de acesso remoto como Microsoft 365, portais VPN e single sign-on. Os atacantes, incluindo alguns grupos com bons recursos, preferem-no porque e silencioso e eficaz a grande escala: espalhar uma palavra-passe comum por milhares de contas empresariais e algumas vao coincidir. Tambem aparece contra qualquer grande superficie de login onde os nomes de utilizador seguem um padrao previsivel como nome.apelido.
Como me protejo contra o password spraying?
Duas defesas fazem a maior parte do trabalho. Primeiro, a autenticacao multifator (MFA): mesmo que a palavra-passe espalhada esteja correta, o atacante e travado no segundo fator. Segundo, palavras-passe unicas e nao comuns - um gestor de palavras-passe gera palavras-passe longas e aleatorias que nunca aparecem nas listas de palavras-passe comuns em que o spraying se baseia. Para as organizacoes, adicione smart lockout que detete logins falhados espalhados por muitas contas, bloqueie os protocolos de legacy authentication que contornam o MFA, e monitorize as falhas de login distribuidas.


