什么是凭证填充？

凭证填充是一种网络攻击技术，攻击者使用自动化工具在众多网站和应用程序中测试被盗的登录凭证。这种方法利用了许多用户在不同平台上重复使用密码的事实，使黑客更容易获得对多个帐户的未经授权的访问。

近年来，数据泄露的数量显着增加，导致暗网上存在大量凭证被泄露。网络犯罪分子通过使用专为撞库攻击而设计的机器人和脚本来利用这种情况。

这是有关网络安全攻击的系列文章的一部分

在本文中：

• 撞库威胁日益严重
• 撞库攻击过程
  • 第 1 步：获取被盗凭证
  • 第 2 步：设置自动化工具
  • 第三步：发起攻击
  • 第 4 步：利用受损帐户
• 撞库与暴力攻击
• 缓解撞库威胁的 6 种方法
  • 启用多重身份验证 (MFA)
  • 加强密码政策并教育用户
  • 制定密码黑名单
  • 利用验证码技术
  • 观察并检查登录尝试
  • 实施速率限制

撞库威胁日益严重

撞库已成为网络犯罪分子越来越青睐的攻击方法，主要是因为其易于执行且成功率高。有几个因素导致撞库攻击增加：

1. 更多数据泄露：近年来，数据泄露的频率和范围急剧增加，导致大量凭证被盗，可在暗网市场和论坛上购买或免费下载。大量受损的登录信息使攻击者更容易发起大规模的撞库活动。
2. 密码重复使用：许多用户坚持在多个在线帐户中重复使用密码，这使得他们更容易受到撞库攻击。研究表明，大多数人对多个帐户使用相同的密码，一旦一个帐户遭到黑客攻击，这些帐户就会暴露在外。
3. 先进的自动化工具：攻击者现在可以使用复杂的自动化工具，例如机器人和脚本，专门用于大规模执行撞库攻击。这些工具可以在短时间内针对目标网站或应用程序快速测试数千甚至数百万个用户名/密码组合。
4. 多重身份验证 (MFA) 不足：尽管 MFA 在阻止未经授权的访问方面已被证明是有效的，但许多组织仍然没有在其数字资产中实施 MFA。根据 Microsoft Identity 团队的调查，只有 11% 的企业用户启用了 MFA，这使得大多数用户容易受到撞库攻击。

低风险：由于攻击者使用从以前的违规行为中获得的合法登录凭据，因此与传统的暴力尝试相比，安全系统和专业人员检测和阻止此类攻击变得更加困难。

撞库攻击过程

第 1 步：获取被盗凭证

撞库攻击的第一步涉及获取大量受损的用户名和密码。网络犯罪分子通常从各种来源获取这些数据集，例如数据泄露、网络钓鱼活动，甚至在暗网市场上购买。

第 2 步：设置自动化工具

然后，攻击者使用专门的软件或脚本（称为“凭据填充程序”）来自动执行针对目标网站测试被盗凭据的过程。一些流行的开源工具包括 OpenBullet、SentryMBA 和 Snipr。这些工具可以通过特定配置进行定制，旨在绕过验证码或 IP 阻止等安全措施。

第三步：发起攻击

攻击者使用他们选择的工具启动凭证填充过程，该工具会同时向目标网站或应用程序高速发送多次登录尝试。如果获得未经授权的访问，攻击者可能会使用受感染的帐户进行各种恶意目的，例如身份盗窃、财务欺诈或传播恶意软件。

第 4 步：利用受损帐户

一旦帐户被破坏，攻击者可能会选择在地下论坛上出售该帐户的访问权限或使用它进行进一步的攻击。例如，他们可能会尝试利用密码重置功能来接管与同一电子邮件地址链接的其他用户帐户

撞库与暴力攻击

尽管撞库攻击和暴力攻击都旨在获得对用户帐户的未经授权的访问，但它们的方法和策略有所不同。了解这些差异对于从事应用程序安全工作的安全专业人员、道德黑客和 DevSecOps 团队至关重要。

在撞库攻击中，网络犯罪分子使用之前数据泄露事件中窃取或泄露的大量凭据（用户名和密码）。然后，他们尝试使用这些已知的组合登录各个网站，希望用户在多个平台上重复使用相同的凭据。

相比之下，暴力攻击涉及系统地尝试所有可能的用户名-密码组合，直到找到正确的组合。此方法可能非常耗时，但如果目标帐户的登录信息较弱或易于猜测，则最终可能会成功。

撞库攻击比暴力攻击相对更容易执行，因为它们依赖于已经受损的数据，而不是生成每种可能的组合。因此，由于许多用户在不同平台上重复使用密码，撞库往往具有更高的成功率。

另一方面，暴力攻击需要更多的计算能力，因为在找到有效的登录详细信息之前需要进行大量的尝试。这些类型的攻击还面临其他挑战，例如网站实施的速率限制机制，该机制会减慢或阻止重复失败的登录尝试。

缓解撞库威胁的 6 种方法

随着撞库攻击频率的增加，安全专家、道德黑客和 DevSecOps 团队必须采用最佳实践来最大限度地降低风险并避免未来再次发生。

1. 启用多重身份验证 (MFA)

MFA 要求用户提供除用户名和密码之外的额外验证，从而大大降低撞库攻击成功的机会。通过为所有用户帐户合并 MFA，您可以显着降低撞库攻击成功的几率，因为攻击者需要访问多个因素才能获得未经授权的访问。

2. 加强密码政策并教育用户

引入强大的密码策略，例如要求最小长度或强制使用特殊字符，有助于确保用户生成复杂的密码，不易受到暴力攻击。此外，定期提供关于正确密码实践的用户培训，例如为不同的帐户使用唯一的密码，可以降低因涉及暴露凭据的数据泄露而造成的风险。

3.制定密码黑名单

通过生成禁止单词或表达的黑名单来防止使用常见或易于预测的密码。实施此策略可以阻止用户选择弱密码，这些密码在撞库尝试中更容易受到影响。

4.利用验证码技术

验证码技术要求用户在允许访问之前完成只有人类才能执行的任务，从而阻止用于撞库攻击的自动机器人进入您的系统。在登录页面上加入验证码可以大大降低此类攻击的可能性。

5. 观察并检查登录尝试

通过仔细观察登录尝试，您可以查明表明存在撞库行为的模式。例如，从单个 IP 地址多次登录失败或快速进行一系列登录尝试可能表明正在进行的攻击。部署安全信息和事件管理 (SIEM) 工具可以帮助识别这些模式并通知您的安全团队采取适当的措施。

6.实施速率限制

速率限制指定在特定时间段内允许用户或 IP 地址发出的请求数量。通过对身份验证端点实施速率限制，您可以阻止自动机器人快速连续执行大量登录尝试，从而降低撞库攻击成功的机会

使用 LvBug 预防撞库

LvBug 攻击抵抗平台是一种创新方法，可以真正防止撞库等攻击发生。如何？通过让人类安全专家持续评估攻击面，找出不良行为者针对的缺陷。借助 LvBug，组织能够智取网络犯罪分子、扩大安全团队的覆盖范围并减少面临威胁的机会。