什麼是密碼填充,你可以做些什麼來保護自己免受攻擊?

Credential Password Stuffing

一個用戶的一個在線帳戶被劫持了,他們首先問自己:“黑客是怎麼把我的密碼弄污了?”。他們很生氣,他們想要答案。延遲答復後,他們會更加沮喪。

這是很自然的反應,但讓我們停一會兒,想一想柵欄另一側的情況。讓自己陷入服務提供商的角色。

您已經閱讀了無數博客文章,文章和研究論文。您已經看到安全專家解釋了您應該做和不應該做的事情,並且與許多其他在線服務不同,您不認為包含“安全”和“嚴重”一詞的聲明可以平息成群的憤怒用戶。您的連接是安全的,身份驗證系統會對用戶的密碼進行加密和哈希處理並安全地存儲它們。您的服務器和您使用的所有軟件應用程序都將受到持續監控並定期打補丁。但是,不知何故,您的數百名用戶的帳戶遭到入侵,您也不知道這是怎麼發生的。您的用戶很可能是憑證(或密碼)填充攻擊的受害者。

遭受他人安全缺陷的後果

憑據填充是一種越來越多的多階段攻擊的名稱。事實是,太多的網站和在線服務在保護用戶的敏感數據方面做得不夠。例如,登錄憑據以純文本存儲,放置在其中的數據庫在沒有任何形式的保護的情況下公開給萬維網。

對於不那麼精明的網絡騙子,黑客入侵這些網站是小孩子的事,他們試圖抓取盡可能多的登錄憑據。洩露的用戶名和密碼也會在黑客論壇上定期進行交易,這對於網絡騙子來說是個好消息,因為在大多數情況下,他們使用來自多個網站的被黑客入侵的數據庫進行一次憑據填充攻擊。

嘗試通過從單個IP輸入所有用戶名和密碼來劫持帳戶將花費數年,並且可能會觸發許多網站上的鎖定機制。這就是為什麼,網絡騙子使用殭屍網絡(受感染的計算機和連接到互聯網的設備組成的組)和腳本來確定被竊取的憑據是否有效。不過,他們不會在被盜的網站上嘗試使用。

他們在網站和在線服務上嘗試使用這些功能,而破壞帳戶可能會更有利可圖。而且由於大量的人在多個網站上使用相同的密碼,所以黑客的嘗試通常是成功的。

將所有責任歸咎於用戶是否公平?

大多數用戶知道他們不應該這樣做。他們中的許多人都知道像Cyclonis Password Manager這樣的解決方案將幫助他們避免這種情況。但是,他們繼續對許多帳戶使用相同的密碼。您可能會說,它們是存在的責任,更具體地說,是憑證填充攻擊的普及。

然而,事實是,每個人都必須承擔自己的責任。在線論壇不存儲任何付款信息這一事實並不意味著其所有者應忽略安全性。以幾乎相同的方式,用戶應該不會因為知道相同的字母和數字字符串既可以保護自己的在線銀行帳戶,又可以保護在沒人使用的社交網絡上的個人資料而感到不舒服。每個人都應該意識到這個問題,並且應該盡其所能來解決它。

讓我們現實一點吧,這發生的可能性有多大?

好吧,請考慮一下:創建網站比以往任何時候都容易。為了促使人們註冊,全世界的營銷部門都說,即使您的祖母也可以這樣做。這不太可能很快改變。

我們認識到有例外,但是通常,祖母沒有最好的資格來設計圍繞用戶的安全和隱私的系統。不幸的是,這不太可能很快改變。不可避免地,有一天,您將最終註冊一個由某人的祖母設計的網站,如果您重複使用密碼,很快就會陷入麻煩。

因此,無論您喜歡與否,作為用戶,球都在您的球場上。

April 30, 2019

發表評論