什么是密码填充,你可以做些什么来保护自己免受攻击?

Credential Password Stuffing

一个用户的一个在线帐户被劫持了,他们首先问自己:“黑客是怎么把我的密码弄污了?”。他们很生气,他们想要答案。延迟答复后,他们会更加沮丧。

这是很自然的反应,但让我们停一会儿,想一想栅栏另一侧的情况。让自己陷入服务提供商的角色。

您已经阅读了无数博客文章,文章和研究论文。您已经看到安全专家解释了您应该做和不应该做的事情,并且与许多其他在线服务不同,您不认为包含“安全”和“严重”一词的声明可以平息成群的愤怒用户。您的连接是安全的,身份验证系统会对用户的密码进行加密和哈希处理并安全地存储它们。您的服务器和您使用的所有软件应用程序都将受到持续监控并定期打补丁。但是,不知何故,您的数百名用户的帐户遭到入侵,您也不知道这是怎么发生的。您的用户很可能是凭证(或密码)填充攻击的受害者。

遭受他人安全缺陷的后果

凭据填充是一种越来越多的多阶段攻击的名称。事实是,太多的网站和在线服务在保护用户的敏感数据方面做得不够。例如,登录凭据以纯文本存储,放置在其中的数据库在没有任何形式的保护的情况下公开给万维网。

对于不那么精明的网络骗子,黑客入侵这些网站是小孩子的事,他们试图抓取尽可能多的登录凭据。泄露的用户名和密码也会在黑客论坛上定期进行交易,这对于网络骗子而言是个好消息,因为在大多数情况下,他们使用来自多个网站的被黑客入侵的数据库进行一次凭据填充攻击。

尝试通过从单个IP输入所有用户名和密码来劫持帐户将花费数年,并且可能会触发许多网站上的锁定机制。这就是为什么,网络骗子使用僵尸网络(受感染的计算机和连接到互联网的设备组成的组)和脚本来确定被窃取的凭据是否有效。不过,他们不会在被盗的网站上尝试使用。

他们在网站和在线服务上尝试使用这些功能,而破坏帐户可能会更有利可图。而且由于大量的人在多个网站上使用相同的密码,所以黑客的尝试通常是成功的。

将所有责任归咎于用户是否公平?

大多数用户知道他们不应该这样做。他们中的许多人都知道像Cyclonis Password Manager这样的解决方案将帮助他们避免这种情况。但是,他们继续对许多帐户使用相同的密码。您可能会说,它们是存在的责任,更具体地说,是凭证填充攻击的普及。

然而,事实是,每个人都必须承担自己的责任。在线论坛不存储任何付款信息这一事实并不意味着其所有者应忽略安全性。以几乎相同的方式,用户应该不会因为知道相同的字母和数字字符串既可以保护自己的在线银行帐户,又可以保护在没人使用的社交网络上的个人资料而感到不舒服。每个人都应该意识到这个问题,并且应该尽其所能来解决它。

让我们现实一点吧,这发生的可能性有多大?

好吧,请考虑一下:创建网站比以往任何时候都容易。为了促使人们注册,全世界的营销部门都说,即使您的祖母也可以这样做。这不太可能很快改变。

我们认识到有例外,但是通常,祖母没有最好的资格来设计围绕用户的安全和隐私的系统。不幸的是,这不太可能很快改变。不可避免地,有一天,您将最终注册一个由某人的祖母设计的网站,如果您重复使用密码,很快就会陷入麻烦。

因此,无论您喜欢与否,作为用户,球都在您的球场上。

April 30, 2019

发表评论