密码喷射攻击是攻击者常用的一种专门的密码攻击，它相当有效，有助于避免被传统密码防御检测到。密码喷射攻击可能会在许多不同的帐户和服务中尝试一个或两个通用密码，而不是在单个用户帐户上尝试许多不同的密码。

它甚至可能跨越许多不同的组织。它是目前发生的十大最常见的密码攻击之一。

在这种类型的攻击中，黑客选择最终用户常用的密码或在泄露的密码转储中发现的密码。密码喷洒攻击有助于避免被许多可用的传统安全监控解决方案检测到，因为攻击模式看起来类似于正常的失败登录尝试。

这些尝试不会锁定帐户或触发其他监控阈值，因为每个用户只有几次尝试。

密码喷洒就是赌一把——攻击者知道如果他们在数千个账户中喷洒通用密码，他们很可能会在拥有易于猜测的密码的用户中取得一些成功，例如最近在 2022 年弱密码报告中发现的这些密码来自 Specops。

您的 ADFS 面临风险
使用 Active Directory 联合服务 (ADFS) 的组织将拥有一个通常使用传统 ADDS 密码和帐户锁定策略的 Active Directory 域服务基础结构。此外，大多数组织都会有一个帐户锁定策略，该策略会在 3-5 次不成功的登录尝试后触发，锁定用户帐户。

密码喷洒保持在此阈值以下，目标用户帐户不会触发帐户锁定。

被盗的帐户密码为攻击者提供了进入受害者网络的“阻力最小的路径”。一旦获得泄露的凭据，攻击者可以轻松访问关键业务系统。

ADFS 是一种解决方案，允许联合身份和访问管理以及跨企业边界共享权利和授权权限。

ADFS 用于将本地 ADDS 帐户与 Office 365 统一起来
威胁参与者可能会使用这些初始成功的密码喷洒受害者来梳理电子邮件，寻找其他联系人、敏感信息、特权信息，或向组织中的其他人发送网络钓鱼链接。

公司经常在本地和云环境之间使用 ADFS IAM，并为跨基础设施边界的业务关键资源提供单点登录。

那么，组织如何保护他们的 ADFS 环境免受密码攻击，包括密码喷洒和其他试图窃取和破坏凭据的威胁？

保护 ADFS 免受密码喷射攻击
Microsoft 建议采用多层方法来保护您的 ADFS 环境免受密码喷洒和其他类型的密码攻击。推荐的安全保护适用于三个安全级别，包括：

基线
保护您的外联网
转为无密码以进行外联网访问
1. 基线
Microsoft 的首要建议之一是运行 ADFS 2016，也称为 AFFS 4.0。

使用 ADFS 2016，您可以实施外联网智能锁定。Extranet 智能锁定保护用户免受恶意活动的帐户锁定。

它通过区分来自熟悉位置的用户登录尝试和来自恶意活动的登录尝试来做到这一点。

这种保护甚至可能触发一两次不寻常的登录尝试，这可能会更快地阻止密码喷雾器。

2. 保护您的外联网
使用 ADFS 保护您的 Extranet 涉及对移动客户端使用现代身份验证以及使用多因素身份验证 (MFA) 来保护所有 Extranet 访问。现代设备和电子邮件客户端可以使用身份验证协议连接到您的 ADFS 联合外联网。

MFA 可以与 Azure AD 中的条件访问策略一起使用，以围绕用户登录提供强大的安全上下文，以增加对这些类型攻击的保护。

3. 转为无密码访问外网
完全摆脱密码显然可以显着降低用户密码带来的风险。Microsoft 提供了多种无密码技术，包括：

Windows 10 和 11 Hello 企业版
MDM 管理的设备可以利用基于证书的登录
Azure MFA OTP
但是，许多组织可能会发现无密码身份验证还不够成熟，无法在其环境中替换密码。

正如我们所看到的，微软几乎放弃了 Azure Active Directory 的 Active Directory，微软推动无密码意味着密码本身比以往任何时候都更容易受到攻击。当我们看到 Microsoft 将重点从市场上排名第一的身份验证方法转移时，如果没有可靠的解决方案，组织可能会更容易受到攻击。

与其跳到可能无法大肆宣传的技术上，组织应该专注于保护他们当前的身份验证方法，并利用简单的策略，如多种因素、阻止已知的泄露密码和鼓励使用密码短语。

Specops 密码策略的额外安全性
传统企业数据中心密码安全的一个重要弱点是在 Active Directory 域服务密码策略中发现的过时密码策略允许易于破解的密码在整个组织中猖獗。

不幸的是，ADDS 密码策略并非针对当今组织面临的现代密码挑战而设计，包括密码喷洒攻击和危险的最终用户行为，例如递增密码。

Specops 密码策略是基于 Active Directory 中的组策略引擎构建的强大密码策略解决方案。它使组织能够克服本机 Active Directory 密码策略功能的限制。Specops 使用暴力破解或其他密码喷射攻击来防止已知的泄露密码和新发现的密码。

持续的 Specops 泄露密码保护使用 Specops 自己的全球蜜罐网络来捕获泄露的密码数据。然后将这些数据反馈到 Specops Breached Password Protection 以及 Specops 密码策略。

有一个额外的安全层来保护您的 ADFS 和 Specops 密码策略就是一个好主意