In a credential stuffing attack, cybercriminals take advantage of weak and reused passwords. Automated bots will take a list of username/password pairs that have been exposed in data breaches and try them on other online accounts. If the user has the same credentials on multiple sites, this provides the attacker with unauthorized access to a legitimate user account.
憑證填充攻擊會使用大量已暴露的用戶名/密碼對列表。 在某些數據洩露時,不當的憑證存儲會導致整個密碼數據庫洩漏。 在其他地方,網絡犯罪分子通過密碼猜測攻擊破解某些用戶的密碼。 憑證填充者還可以透過網路釣魚和類似攻擊來取得使用者名稱和密碼。
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
暴力密碼攻擊是一個通用術語,涵蓋幾種不同的特定攻擊技術。 一般來說,暴力攻擊意味著攻擊者只是嘗試使用不同的密碼組合,直到某種情況發揮作用。
暴力攻擊一詞最常用於指攻擊者嘗試使用所有可能的密碼選項的攻擊。 例如,對八個字元的密碼進行暴力攻擊可能會嘗試 aaaaaaaa,aaaaaaab,aaaaaaac 等。 雖然這種方法可以確保最終找到正確的密碼,但它緩慢到對於強大密碼而言不可行。
憑證填充採用不同的方法來猜測用戶的密碼。 它不是查看所有可能的密碼組合,而是專注於已知被人士使用的密碼,因為他們被洩露在漏洞中。 這種密碼猜測方法比暴力搜索快得多,但它假設密碼將在多個網站上重複使用。 但是,由於大多數人在多個網站上重複使用相同的密碼,因此這是一個安全的假設。
憑證填充對個人和公司安全性都會構成嚴重的風險。 成功的憑證填充攻擊可讓攻擊者存取使用者的帳戶,該帳戶可能包含敏感資訊或代表使用者執行財務交易或其他權限行動的能力。 但是,儘管密碼重複使用的威脅廣泛廣告,但大多數人都沒有更改他們的密碼行為。
如果在個人和企業帳戶中重複使用密碼,憑證填充也可能會使企業面臨風險。 公司可採取幾個不同的步驟來降低憑證填充攻擊的風險,包括:
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
若要了解 Harmony 網頁瀏覽防護的實際效果,請觀看此影片。