資料結構
網路
關係型資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究什麼是憑證填充攻擊?(工作原理及預防措施)
什麼是憑證填充攻擊?
憑證填充攻擊是一種駭客攻擊方式,駭客透過入侵系統獲取使用者憑證,然後嘗試將其用於其他系統。與其他型別的相關駭客攻擊一樣,憑證填充攻擊依賴於駭客入侵網路並竊取敏感的使用者資訊,例如密碼和使用者名稱。
憑證填充攻擊發生在駭客從一個站點或系統獲取被盜資訊,並將其用於暴力破解攻擊以獲取對多個其他系統的訪問許可權時。駭客有時會檢查密碼或使用者名稱是否可以用於另一個網站,或者它是否與原始網站相關。
例如,駭客可能會獲取特定商家的使用者名稱和密碼列表,並嘗試將這些使用者名稱和密碼用於銀行網站。其假設是,透過嘗試許多此類攻擊,駭客將能夠確定是否有任何使用者重複使用密碼或使用者許可權,從而允許駭客使用被盜的登入資料訪問各種系統。在某些情況下,憑證填充攻擊可能導致身份盜竊。
憑證填充攻擊是如何運作的?
憑證填充攻擊利用大量洩露的使用者名稱/密碼配對列表。在某些資料洩露事件中,不正確的憑證儲存會導致整個密碼資料庫洩露。在其他情況下,竊賊利用密碼猜測嘗試來破解某些使用者的憑證。憑證填充攻擊者還可以使用網路釣魚和其他類似的攻擊來獲取使用者名稱和密碼。
這些使用者和密碼列表會被提供給一個殭屍網路,該殭屍網路嘗試使用這些憑證登入特定的目標站點。例如,從旅遊網站竊取的憑證可能會被用來檢查大型銀行機構。如果任何使用者在兩個站點上都使用了相同的憑證,則攻擊者可能能夠成功登入其帳戶。
在檢測到有效的使用者名稱/密碼對後,欺詐者可以根據相關帳戶的不同目的使用它們。某些憑證允許攻擊者訪問公司網路和系統,而其他憑證則允許他們使用帳戶所有者的銀行帳戶。此訪問許可權可被憑證填充攻擊組織使用,或出售給第三方。
是什麼使憑證填充攻擊如此有效?
根據統計資料,憑證填充攻擊的成功率相對較低。根據許多估計,此比率約為 0.1%,這意味著攻擊者嘗試入侵每千個帳戶,只會成功一次。儘管成功率很低,但攻擊者之間交易的大量憑證集合使得憑證填充攻擊仍然值得進行。
這些資料庫包含數百萬甚至數十億個登入憑證。如果攻擊者擁有 100 萬組憑證,他們可能能夠入侵約 1000 個帳戶。
即使一小部分被破解的帳戶提供了有價值的資料(通常是信用卡資訊或可用於網路釣魚攻擊的敏感資料),此攻擊也是值得的。此外,攻擊者可以使用相同的憑證集對多個服務重複此操作。由於機器人技術的進步,憑證填充攻擊也成為了一種潛在的攻擊手段。
故意延遲時間和阻止進行多次失敗登入嘗試的使用者 IP 地址是整合到 Web 應用程式登入表單中的常見安全機制。現代憑證填充軟體透過同時部署機器人從各種裝置型別和 IP 地址嘗試多次登入來繞過這些安全措施。
惡意機器人的目的是將攻擊者的登入嘗試與正常的登入活動混合在一起,並且非常成功。登入嘗試總數的增加通常是目標公司受到攻擊的唯一指標。即使如此,目標組織也很難阻止這些嘗試,而不會影響合法使用者訪問服務的能力。
憑證填充攻擊之所以成功,主要是由於人們重複使用密碼。根據研究,大多數使用者會將他們的登入憑證重複用於多個服務,一些估計高達 85%。只要這種做法存在,憑證填充攻擊就會持續有利可圖。
暴力破解攻擊與憑證填充攻擊
憑證填充攻擊是一種使用暴力破解的網路攻擊。但是,兩者在實踐中存在很大差異,保護系統免受其侵害的最佳方法也存在差異。暴力破解攻擊試圖透過更改密碼的字元和數字來猜測密碼。
您可以使用暴力破解保護、驗證碼或要求使用者使用更強的密碼來保護自己免受失敗的登入嘗試。但是,由於密碼已知,因此強密碼無法阻止網路罪犯透過憑證填充攻擊訪問帳戶。
即使是驗證碼或暴力破解防禦在保護使用者方面的能力也有限,因為使用者以可預測的方式更改密碼,並且攻擊者擁有被盜密碼來進行迭代。
如何預防憑證填充攻擊?
憑證填充攻擊危及個人和企業安全。當憑證填充攻擊成功時,攻擊者可以訪問使用者的帳戶,該帳戶可能包含敏感資訊或能夠代表使用者進行金融交易或執行其他特權操作的能力。儘管密碼重複使用的危害已被廣泛宣傳,但大多數使用者並沒有改變他們的密碼習慣。
如果密碼在個人和商業帳戶之間過度使用,憑證填充攻擊可能會危及企業。為了降低憑證填充攻擊的風險,企業可以採取以下措施:
多因素身份驗證 (MFA) − 憑證填充攻擊依賴於攻擊者僅使用使用者名稱和密碼即可登入帳戶的能力。MFA 或 2FA 使這些攻擊更具挑戰性,因為攻擊者需要一個一次性程式碼才能成功登入
驗證碼 − 大多數憑證填充攻擊都是自動化的。登入頁面上的驗證碼可以阻止某些自動化流量訪問站點並測試可能的密碼。
反機器人解決方案 − 除了驗證碼之外,組織還可以使用反機器人解決方案來阻止憑證填充流量。這些工具利用行為異常來區分人類和自動化的站點使用者,並限制可疑流量。
監控網站流量 − 憑證填充攻擊涉及許多失敗的登入嘗試。組織監控登入頁面流量的能力可能會決定其阻止或限制這些攻擊的能力。
使用洩露憑證列表的憑證填充機器人 − 憑證填充機器人通常使用資料洩露中洩露的憑證列表。可以將使用者密碼與弱密碼列表或“HaveIBeenPwned”等服務進行檢查,以檢視它們是否容易受到憑證填充攻擊。
248 次瀏覽
