什麼是憑證填充?

In a credential stuffing attack, cybercriminals take advantage of weak and reused passwords. Automated bots will take a list of username/password pairs that have been exposed in data breaches and try them on other online accounts. If the user has the same credentials on multiple sites, this provides the attacker with unauthorized access to a legitimate user account.

申請示範

什麼是憑證填充?

攻擊解剖學-它的工作原理

憑證填充攻擊會使用大量已暴露的用戶名/密碼對列表。 在某些數據洩露時,不當的憑證存儲會導致整個密碼數據庫洩漏。 在其他地方,網絡犯罪分子通過密碼猜測攻擊破解某些用戶的密碼。 憑證填充者還可以透過網路釣魚和類似攻擊來取得使用者名稱和密碼。

These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.

After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.

憑證填充與暴力攻擊

暴力密碼攻擊是一個通用術語,涵蓋幾種不同的特定攻擊技術。 一般來說,暴力攻擊意味著攻擊者只是嘗試使用不同的密碼組合,直到某種情況發揮作用。

暴力攻擊一詞最常用於指攻擊者嘗試使用所有可能的密碼選項的攻擊。 例如,對八個字元的密碼進行暴力攻擊可能會嘗試 aaaaaaaa,aaaaaaab,aaaaaaac 等。 雖然這種方法可以確保最終找到正確的密碼,但它緩慢到對於強大密碼而言不可行。

 

憑證填充採用不同的方法來猜測用戶的密碼。 它不是查看所有可能的密碼組合,而是專注於已知被人士使用的密碼,因為他們被洩露在漏洞中。 這種密碼猜測方法比暴力搜索快得多,但它假設密碼將在多個網站上重複使用。 但是,由於大多數人在多個網站上重複使用相同的密碼,因此這是一個安全的假設。

如何防止憑證填充

憑證填充對個人和公司安全性都會構成嚴重的風險。 成功的憑證填充攻擊可讓攻擊者存取使用者的帳戶,該帳戶可能包含敏感資訊或代表使用者執行財務交易或其他權限行動的能力。 但是,儘管密碼重複使用的威脅廣泛廣告,但大多數人都沒有更改他們的密碼行為。

 

如果在個人和企業帳戶中重複使用密碼,憑證填充也可能會使企業面臨風險。 公司可採取幾個不同的步驟來降低憑證填充攻擊的風險,包括:

  • 多重身份驗證 (MFA):撞庫攻擊依賴攻擊者僅使用使用者名稱和密碼登入帳戶的能力。 實作 MFA 或 2FA 會使這些攻擊更加困難,因為攻擊者也需要一次性代碼才能成功登入。
  • 驗證碼:憑證填充攻擊通常是自動化的。 在登錄頁面上實現 CAPTCHA 可以阻止某些自動流量到達網站並測試潛在的密碼。
  • 反機器人解決方案:除了 CAPTCHA 之外,組織還可以部署反機器人解決方案來阻止憑證填充流量。 這些解決方案使用行為異常來區分網站的人類和自動訪問者,並阻止可疑流量。
  • Website Traffic Monitoring: A credential stuffing attack involves a massive volume of failed login attempts. Monitoring traffic to login pages may allow an organization to block or throttle these attacks.
  • 檢查被侵犯的認證:憑證填充機器人通常會使用在資料洩露時暴露的憑證清單。 根據 HaveIBeenPwned 等弱密碼清單檢查使用者密碼或服務,可以協助判斷使用者的密碼是否可能容易遭到認證填充。

使用 Harmony 防止撞庫網頁瀏覽防護

Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:

 

  • 阻止密碼重複使用:當員工在網站上建立新密碼時,Harmony 網頁瀏覽防護會檢查他們是否對其他帳號使用了相同的密碼。 透過阻止密碼重複使用,Harmony 網頁瀏覽防護減少了撞庫攻擊的威脅。
  • 保護使用者憑證:憑證填入攻擊中使用的清單通常包括使用網路釣魚攻擊竊取的憑證。 Harmony 網頁瀏覽防護可封鎖旨在竊取這些憑證的零日網路釣魚網站。

 

若要了解 Harmony 網頁瀏覽防護的實際效果,請觀看此影片

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明