Password spraying to mało wyrafinowany technicznie, a jednocześnie bardzo skuteczny atak, którego celem jest przejęcie dostępu do dowolnego konta, profilu czy firmowej lub domowej sieci. Siłą napędową ataku są niewystarczająco silne i nieunikalne hasła, używane masowo przez nieświadomych użytkowników Internetu, oraz działanie hakerów na dużą skalę. Według badania NordPass z 2020 roku większość użytkowników sieci posiada 70–80 profili lub kont wymagających ochrony hasłem.

Oszuści wykorzystujący tę metodę ustalają najpierw nazwy użytkowników (co w przypadku skrzynek e-mail i innych aplikacji jest powszechnie dostępną informacją), a następnie próbują zalogować się do wskazanych kont, używając popularnych, statystycznie często występujących haseł (w sieci można znaleźć gotowe listy popularnych haseł udostępniane ku przestrodze przez branżowe portale).

Haker nie próbuje złamać dostępu tylko do jednego konta, wykonując wiele prób z rzędu. Takie działanie bardzo szybko doprowadziłoby bowiem do zablokowania profilu (zazwyczaj wystarczy 3–5 prób) i powiadomienia właściciela. Oszuści wypróbowują hasła na kolejnych kontach, co nie wzbudza podejrzeń systemów zabezpieczających i naśladuje naturalne „pomyłki” podczas wpisywania haseł (przez takie działanie metoda ta jest często określana terminem low-and-slow). Do włamania się potrzebne są tysiące prób logowania, dlatego przestępcy nierzadko wykorzystują do tego celu botnet – zainfekowane komputery-zombie, nieświadomie działające w obrębie jednej sieci (tak samo jak w przypadku ataków typu DDoS).

Na takie ataki narażone są szczególnie aplikacje jednokrotnego logowania (np. oparte na protokołach federacyjnych), umożliwiające logowanie na przykład jeden raz na każdą sesję.

Password spraying jest często mylony z atakiem typu credential stuffing. W tym drugim metodyka jest jednak nieco inna: oszuści wykorzystują pozyskane nielegalnie dane dostępowe (login, hasło) i próbują logować się za ich pomocą na różnych platformach. Różnica polega więc na tym, że przestępca wykorzystujący atak password spraying nie zna prawdziwych danych uwierzytelniających, ale próbuje je odgadnąć. Obie metody są rodzajem ataków typu brute-force, czyli prób siłowego złamania haseł bez użycia szczególnych środków technicznych.

Atak typu password spraying jest trudny do wykrycia. Przestępcy stosujący tę metodę działają niespiesznie i starają się nie zablokować kolejnych prób logowania. O wystąpieniu ataku mogą świadczyć ostrzeżenia płynące z systemów zabezpieczających oraz bezpośrednio ze skrzynek e-mail i portali, mówiące o występujących próbach logowania z nietypowych lokalizacji. W skrajnych przypadkach możliwe jest zablokowanie dostępu do konta (poprzez wprowadzenie zbyt wielu niepoprawnych haseł).

W przypadku otrzymania informacji o próbie logowania należy upewnić się, że ustawione hasło jest silne i unikalne, a w razie potrzeby zmienić je na inne. Gdy dostęp do konta został przejęty przez oszusta, trzeba przede wszystkim poinformować o tym administratora. Jeśli przejęte konto było powiązane ze środkami finansowymi, trzeba koniecznie zablokować możliwość dysponowania nimi.

Oszust, który uzyska dostęp do skrzynki e-mail, może dalej zmienić hasła do ważnych aplikacji oraz usług i spowodować olbrzymie szkody finansowe (robiąc zakupy na platformie, w której użytkownik pozostawił dane karty płatniczej, obciążając salda usług tzw. odroczonych płatności itp.). W przypadku adresów firmowych haker może także zyskać dostęp do firmowych zasobów i wykraść dane lub zwyczajnie dokonać zniszczeń w firmowej infrastrukturze.