數(shù)據(jù)泄露及其對(duì)組織的直接影響已廣為人知。但是在泄露之后會(huì)發(fā)生什么，尤其是在用戶名和密碼等憑證被泄露的情況下？泄露的憑據(jù)通常在黑市上出售或被攻擊者利用來攻擊同一組織或其他組織。當(dāng)這些被盜的憑據(jù)在不同的網(wǎng)站上重復(fù)使用時(shí)，這被稱為憑據(jù)填充。憑據(jù)填充攻擊是當(dāng)今普遍存在的基于機(jī)器人的威脅，但可以通過正確的措施和安全控制加以預(yù)防。本文深入探討撞庫(kù)以及阻止和減輕這些攻擊的方法。

深入探討撞庫(kù)

憑據(jù)填充是一種網(wǎng)絡(luò)攻擊，其中攻擊者利用自動(dòng)化工具/僵尸網(wǎng)絡(luò)注入預(yù)先收集的憑據(jù)（在違規(guī)中被盜或從暗網(wǎng)購(gòu)買）以獲取對(duì)同一組織或其他組織的用戶帳戶的訪問權(quán)限。

憑據(jù)填充很容易執(zhí)行，而且往往具有很高的成功率。許多用戶傾向于在多個(gè)平臺(tái)上使用相同的登錄憑據(jù)。因此，如果攻擊者破解了其中一個(gè)帳戶的用戶名密碼，他們就可以危及其他帳戶。

憑據(jù)填充攻擊如此容易執(zhí)行的另一個(gè)原因是大量受損憑據(jù)隨時(shí)可用。雖然攻擊者可以購(gòu)買它們，但違規(guī)憑據(jù)也可以在暗網(wǎng)上以明文形式公開獲得。

憑據(jù)填充攻擊如何運(yùn)作？?

攻擊者將被盜/購(gòu)買的憑據(jù)列表添加到僵尸網(wǎng)絡(luò)/自動(dòng)化工具中。僵尸網(wǎng)絡(luò)/自動(dòng)化工具會(huì)在使用不同的 IP 地址時(shí)自動(dòng)在各個(gè)網(wǎng)站上同時(shí)嘗試憑證對(duì)。

僵尸網(wǎng)絡(luò)/自動(dòng)化工具可識(shí)別出一組受感染憑據(jù)所在的網(wǎng)站。自動(dòng)化減少了攻擊者重復(fù)登錄單個(gè)服務(wù)的需要。攻擊者監(jiān)視成功的登錄并從事惡意活動(dòng)，例如

• 提取敏感信息
• 轉(zhuǎn)移資金
• 參與身份盜用和品牌假冒
• 公司/機(jī)構(gòu)間諜活動(dòng)
• 實(shí)施電子商務(wù)欺詐
• 出售對(duì)新泄露帳戶的訪問權(quán)限

憑據(jù)填充與暴力攻擊

盡管有相似之處，但憑證填充與暴力攻擊不同。主要區(qū)別在于攻擊者試圖在沒有任何上下文或先前違規(guī)數(shù)據(jù)的情況下猜測(cè)憑據(jù)。攻擊者可能會(huì)更改字符、數(shù)字等，或使用隨機(jī)字符串、可猜測(cè)的密碼等來破解憑據(jù)。

撞庫(kù)攻擊預(yù)防：有效方法?

多重身份驗(yàn)證 (MFA)

最好的撞庫(kù)防御措施之一是多因素身份驗(yàn)證。MFA 要求用戶執(zhí)行額外的身份驗(yàn)證步驟，以證明他們是合法實(shí)體，而不是試圖訪問該帳戶的機(jī)器人或攻擊者。要求用戶輸入發(fā)送到預(yù)注冊(cè)電話號(hào)碼的 OTP 是對(duì)用戶進(jìn)行身份驗(yàn)證的最佳方法之一。

實(shí)施 MFA 可能并非在所有情況下都可行，因?yàn)樗赡軙?huì)破壞業(yè)務(wù)。因此，它與設(shè)備指紋識(shí)別等其他措施結(jié)合使用，自動(dòng)為確定面臨更大風(fēng)險(xiǎn)的用戶啟用 MFA，等等。

實(shí)施強(qiáng)密碼和身份驗(yàn)證策略?

最簡(jiǎn)單的憑據(jù)填充預(yù)防措施是嚴(yán)格實(shí)施強(qiáng)密碼策略。

• 使用密碼管理器生成唯一的用戶名和強(qiáng)密碼
• 要求用戶為不同的賬戶創(chuàng)建不同的密碼
• 對(duì)失敗的身份驗(yàn)證請(qǐng)求的數(shù)量進(jìn)行嚴(yán)格限制

例如，BFSI 組織通常允許最多 3-5 次失敗的登錄請(qǐng)求，然后無一例外地凍結(jié)用戶帳戶。因此，用戶必須去分行重新激活帳戶。在其他領(lǐng)域，即使無法凍結(jié)賬戶，您也可以設(shè)置登錄失敗的時(shí)間范圍，并提示用戶重設(shè)密碼。

• 對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中的用戶名、密碼等使用憑證哈希。憑據(jù)絕不能以明文形式存儲(chǔ)。
• 繼續(xù)監(jiān)控公共數(shù)據(jù)轉(zhuǎn)儲(chǔ)，以檢查您的數(shù)據(jù)庫(kù)中是否存在被破壞的電子郵件地址和憑據(jù)。如果是這樣，請(qǐng)為這些用戶強(qiáng)制執(zhí)行密碼重置和 MFA。

使用驗(yàn)證碼

驗(yàn)證碼是降低撞庫(kù)攻擊有效性的好方法。它必須與其他方法結(jié)合使用，并巧妙地用于挑戰(zhàn)流量，因?yàn)樗赡軙?huì)破壞業(yè)務(wù)。

設(shè)備指紋識(shí)別

還可以通過使用設(shè)備指紋識(shí)別來防止憑據(jù)填充。通過從用戶設(shè)備收集的語言、操作系統(tǒng)、瀏覽器、時(shí)區(qū)等信息為每個(gè)會(huì)話創(chuàng)建指紋。如果連續(xù)多次使用相同的參數(shù)組合登錄，則很可能是一次攻擊。然后可以對(duì)指紋進(jìn)行IP封禁、臨時(shí)封禁等。

其他措施：?

• 基于地理位置、原始數(shù)據(jù)中心等的速率限制。
• 基于威脅情報(bào)和細(xì)粒度流量分析洞察的 IP 黑名單
• 阻止無頭瀏覽器

結(jié)論

如果您投資于全面、智能、托管的機(jī)器人程序管理和安全解決方案（如AppTrana?），則可以毫不費(fèi)力地阻止和緩解憑據(jù)填充這種基于機(jī)器人程序的攻擊。