数据泄露及其对组织的直接影响已广为人知。但是在泄露之后会发生什么，尤其是在用户名和密码等凭证被泄露的情况下？泄露的凭据通常在黑市上出售或被攻击者利用来攻击同一组织或其他组织。当这些被盗的凭据在不同的网站上重复使用时，这被称为凭据填充。凭据填充攻击是当今普遍存在的基于机器人的威胁，但可以通过正确的措施和安全控制加以预防。本文深入探讨撞库以及阻止和减轻这些攻击的方法。

深入探讨撞库

凭据填充是一种网络攻击，其中攻击者利用自动化工具/僵尸网络注入预先收集的凭据（在违规中被盗或从暗网购买）以获取对同一组织或其他组织的用户帐户的访问权限。

凭据填充很容易执行，而且往往具有很高的成功率。许多用户倾向于在多个平台上使用相同的登录凭据。因此，如果攻击者破解了其中一个帐户的用户名密码，他们就可以危及其他帐户。

凭据填充攻击如此容易执行的另一个原因是大量受损凭据随时可用。虽然攻击者可以购买它们，但违规凭据也可以在暗网上以明文形式公开获得。

凭据填充攻击如何运作？ 

攻击者将被盗/购买的凭据列表添加到僵尸网络/自动化工具中。僵尸网络/自动化工具会在使用不同的 IP 地址时自动在各个网站上同时尝试凭证对。

僵尸网络/自动化工具可识别出一组受感染凭据所在的网站。自动化减少了攻击者重复登录单个服务的需要。攻击者监视成功的登录并从事恶意活动，例如

• 提取敏感信息
• 转移资金
• 参与身份盗用和品牌假冒
• 公司/机构间谍活动
• 实施电子商务欺诈
• 出售对新泄露帐户的访问权限

凭据填充与暴力攻击

尽管有相似之处，但凭证填充与暴力攻击不同。主要区别在于攻击者试图在没有任何上下文或先前违规数据的情况下猜测凭据。攻击者可能会更改字符、数字等，或使用随机字符串、可猜测的密码等来破解凭据。

撞库攻击预防：有效方法 

多重身份验证 (MFA)

最好的撞库防御措施之一是多因素身份验证。MFA 要求用户执行额外的身份验证步骤，以证明他们是合法实体，而不是试图访问该帐户的机器人或攻击者。要求用户输入发送到预注册电话号码的 OTP 是对用户进行身份验证的最佳方法之一。

实施 MFA 可能并非在所有情况下都可行，因为它可能会破坏业务。因此，它与设备指纹识别等其他措施结合使用，自动为确定面临更大风险的用户启用 MFA，等等。

实施强密码和身份验证策略 

最简单的凭据填充预防措施是严格实施强密码策略。

• 使用密码管理器生成唯一的用户名和强密码
• 要求用户为不同的账户创建不同的密码
• 对失败的身份验证请求的数量进行严格限制

例如，BFSI 组织通常允许最多 3-5 次失败的登录请求，然后无一例外地冻结用户帐户。因此，用户必须去分行重新激活帐户。在其他领域，即使无法冻结账户，您也可以设置登录失败的时间范围，并提示用户重设密码。

• 对存储在数据库中的用户名、密码等使用凭证哈希。凭据绝不能以明文形式存储。
• 继续监控公共数据转储，以检查您的数据库中是否存在被破坏的电子邮件地址和凭据。如果是这样，请为这些用户强制执行密码重置和 MFA。

使用验证码

验证码是降低撞库攻击有效性的好方法。它必须与其他方法结合使用，并巧妙地用于挑战流量，因为它可能会破坏业务。

设备指纹识别

还可以通过使用设备指纹识别来防止凭据填充。通过从用户设备收集的语言、操作系统、浏览器、时区等信息为每个会话创建指纹。如果连续多次使用相同的参数组合登录，则很可能是一次攻击。然后可以对指纹进行IP封禁、临时封禁等。

其他措施： 

• 基于地理位置、原始数据中心等的速率限制。
• 基于威胁情报和细粒度流量分析洞察的 IP 黑名单
• 阻止无头浏览器

结论

如果您投资于全面、智能、托管的机器人程序管理和安全解决方案（如AppTrana ），则可以毫不费力地阻止和缓解凭据填充这种基于机器人程序的攻击。