數據泄露及其對組織的直接影響已廣為人知。但是在泄露之后會發生什么，尤其是在用戶名和密碼等憑證被泄露的情況下？泄露的憑據通常在黑市上出售或被攻擊者利用來攻擊同一組織或其他組織。當這些被盜的憑據在不同的網站上重復使用時，這被稱為憑據填充。憑據填充攻擊是當今普遍存在的基于機器人的威脅，但可以通過正確的措施和安全控制加以預防。本文深入探討撞庫以及阻止和減輕這些攻擊的方法。

深入探討撞庫

憑據填充是一種網絡攻擊，其中攻擊者利用自動化工具/僵尸網絡注入預先收集的憑據（在違規中被盜或從暗網購買）以獲取對同一組織或其他組織的用戶帳戶的訪問權限。

憑據填充很容易執行，而且往往具有很高的成功率。許多用戶傾向于在多個平臺上使用相同的登錄憑據。因此，如果攻擊者破解了其中一個帳戶的用戶名密碼，他們就可以危及其他帳戶。

憑據填充攻擊如此容易執行的另一個原因是大量受損憑據隨時可用。雖然攻擊者可以購買它們，但違規憑據也可以在暗網上以明文形式公開獲得。

憑據填充攻擊如何運作？?

攻擊者將被盜/購買的憑據列表添加到僵尸網絡/自動化工具中。僵尸網絡/自動化工具會在使用不同的 IP 地址時自動在各個網站上同時嘗試憑證對。

僵尸網絡/自動化工具可識別出一組受感染憑據所在的網站。自動化減少了攻擊者重復登錄單個服務的需要。攻擊者監視成功的登錄并從事惡意活動，例如

• 提取敏感信息
• 轉移資金
• 參與身份盜用和品牌假冒
• 公司/機構間諜活動
• 實施電子商務欺詐
• 出售對新泄露帳戶的訪問權限

憑據填充與暴力攻擊

盡管有相似之處，但憑證填充與暴力攻擊不同。主要區別在于攻擊者試圖在沒有任何上下文或先前違規數據的情況下猜測憑據。攻擊者可能會更改字符、數字等，或使用隨機字符串、可猜測的密碼等來破解憑據。

撞庫攻擊預防：有效方法?

多重身份驗證 (MFA)

最好的撞庫防御措施之一是多因素身份驗證。MFA 要求用戶執行額外的身份驗證步驟，以證明他們是合法實體，而不是試圖訪問該帳戶的機器人或攻擊者。要求用戶輸入發送到預注冊電話號碼的 OTP 是對用戶進行身份驗證的最佳方法之一。

實施 MFA 可能并非在所有情況下都可行，因為它可能會破壞業務。因此，它與設備指紋識別等其他措施結合使用，自動為確定面臨更大風險的用戶啟用 MFA，等等。

實施強密碼和身份驗證策略?

最簡單的憑據填充預防措施是嚴格實施強密碼策略。

• 使用密碼管理器生成唯一的用戶名和強密碼
• 要求用戶為不同的賬戶創建不同的密碼
• 對失敗的身份驗證請求的數量進行嚴格限制

例如，BFSI 組織通常允許最多 3-5 次失敗的登錄請求，然后無一例外地凍結用戶帳戶。因此，用戶必須去分行重新激活帳戶。在其他領域，即使無法凍結賬戶，您也可以設置登錄失敗的時間范圍，并提示用戶重設密碼。

• 對存儲在數據庫中的用戶名、密碼等使用憑證哈希。憑據絕不能以明文形式存儲。
• 繼續監控公共數據轉儲，以檢查您的數據庫中是否存在被破壞的電子郵件地址和憑據。如果是這樣，請為這些用戶強制執行密碼重置和 MFA。

使用驗證碼

驗證碼是降低撞庫攻擊有效性的好方法。它必須與其他方法結合使用，并巧妙地用于挑戰流量，因為它可能會破壞業務。

設備指紋識別

還可以通過使用設備指紋識別來防止憑據填充。通過從用戶設備收集的語言、操作系統、瀏覽器、時區等信息為每個會話創建指紋。如果連續多次使用相同的參數組合登錄，則很可能是一次攻擊。然后可以對指紋進行IP封禁、臨時封禁等。

其他措施：?

• 基于地理位置、原始數據中心等的速率限制。
• 基于威脅情報和細粒度流量分析洞察的 IP 黑名單
• 阻止無頭瀏覽器

結論

如果您投資于全面、智能、托管的機器人程序管理和安全解決方案（如AppTrana?），則可以毫不費力地阻止和緩解憑據填充這種基于機器人程序的攻擊。