什么是凭证填充？

凭据填充是一种网络攻击，其中从一项服务的数据泄露中获得的凭据用于尝试登录另一项不相关的服务。

例如，攻击者可以获得通过破坏大型百货商店获得的用户名和密码列表，并使用相同的凭据尝试登录国家银行的网站。.攻击者希望该百货公司的一小部分客户也有这家银行的账户，并且他们对这两项服务重复使用相同的用户名和密码。

由于在黑市上交易和出售大量被破坏的凭据，凭据填充攻击很受欢迎。这些列表的激增，再加上使用机器人绕过传统登录保护的凭证填充工具的进步，使凭证填充成为一种流行的攻击媒介。

是什么让凭证填充攻击如此有效？

从统计上讲，凭据填充攻击的成功率非常低。许多估计将其设为 0.1% 左右，这意味着攻击者每尝试破解 1000 个帐户，他们几乎就会成功一次。尽管成功率很低，但攻击者交易的大量凭证集合使得执行凭证填充攻击是值得的。

这些集合包含数百万甚至数十亿的登录信息。如果攻击者拥有一百万组凭据，这可能会产生大约 1,000 个成功破解的帐户。即使只有一小部分被破解的账户产生了有利可图的数据（通常以信用卡号或可用于网络钓鱼攻击的敏感数据的形式），则攻击是有价值的。最重要的是，攻击者可以在许多不同的服务中使用相同的凭据集重复该过程。

机器人技术的进步也使凭证填充成为一种可行的攻击。 Web 应用程序登录表单中内置的安全功能通常包括对多次登录尝试失败的用户的故意时间延迟和 IP 地址阻止。现代凭证填充软件通过使用机器人同时尝试多个似乎来自不同类型设备并源自不同 IP 地址的登录来绕过这些保护。一起。恶意机器人的目标是使攻击者的登录尝试与正常登录流量无法区分，而且非常有效。

通常，帮助公司意识到他们受到攻击的唯一迹象是登录尝试总量的增加。即便如此，目标公司也很难在不影响合法用户登录服务的情况下停止这些努力。

凭据填充攻击起作用的主要原因是人们重复使用密码。研究表明，大多数用户（据估计高达 85%）会为多项服务重复使用相同的登录信息。只要这种做法继续下去，凭证填充仍然有效。

凭据填充和蛮力有什么区别？

OWASP 将凭证填充分类为暴力攻击的一个子集。但是，严格来说，凭证填充与传统的蛮力攻击有很大不同。蛮力攻击试图在没有上下文或线索的情况下猜测密码，有时使用随机字符与常见密码建议相结合。另一方面，凭据填充使用公开数据，大大减少了可能正确答案的数量。

由多个字符组成的强密码可以很好地防御蛮力攻击，包括大写字母、数字和特殊字符。但是密码强度并不能保护用户免受凭证填充攻击。密码有多强并不重要。如果密码在不同帐户之间共享，凭据填充仍然会造成破坏。

如何防止撞库

"

用户如何防止撞库

从用户的角度来看，防止凭据填充非常简单。用户应始终为不同的服务使用唯一的密码（实现此目的的一种简单方法是使用密码管理器）。如果用户始终使用唯一的密码，则凭证填充将不适用于他们的帐户。作为一项额外的安全措施，我们鼓励用户在可用时始终启用双因素身份验证。

公司如何防止撞库

对于运营身份验证服务的公司来说，防止撞库是一项更为复杂的挑战。凭证填充是由于其他公司的数据泄露而发生的。受到撞库攻击的公司不一定存在安全漏洞。

公司可能会要求其用户提供唯一的密码，但通常无法有效地强制执行此操作。

在接受密码作为对抗凭证填充的对策之前，某些应用程序会针对已泄露密码的数据库运行提交的密码，但这并不安全-用户可能会重复使用来自尚未遭到破坏的服务的密码.

提供额外的登录安全功能有助于减少凭据填充。启用双因素身份验证和要求用户在登录时填写验证码等功能也有助于防止恶意程序。虽然这两种功能对用户来说都不太方便，但许多人会同意，减轻安全威胁是值得的。

对抗凭证填充的最强防御是机器人管理服务。机器人管理将速率限制与 IP 数据库结合使用，以防止恶意机器人在不影响合法登录的情况下进行登录尝试。