什么是凭据填充攻击?以及如何保护自己
什么是凭据填充攻击?以及如何保护自己
【2021年5月21日存档】数据泄露经常发生,无法避免;最重要的是,您需要随时保护自己,将可能的损失降到最低。
凭证填充攻击是一种网络攻击形式,涉及将偷来的凭证 “填充” 到多个网站。
像机器人这样的工具可以让攻击者进行自动填充,让他们可以在短时间内针对几十个网站测试数百万个登录凭证。以下是您需要知道的关于这种攻击的内容,尤其是,您可以保护自己的简单方法。
什么是凭证填充?
凭证填充是指将大量被盗的密码和用户名塞入多个网站。攻击者依靠在暗网上兜售的庞大的泄漏数据;他们的目标是利用以前泄露的数百万个登录名和用户名组合来渗透到其他网站。
攻击者之所以能成功,依赖的是一个普遍存在的人为错误 — — 即 在多个网站上使用相同的用户名和/或密码。根据研究,高达85%的用户在不同账户上循环使用密码。
而正是这种人为错误,让攻击者可以利用一个网站泄露的登录凭证进入其他网站和服务。
成功率相当低,只有0.1%到2%左右。这意味着,每测试一百万个登录凭证,只有大约1000个凭证可以用来进入其他网站。但是,让攻击者的努力变得值得的是,他们可以将每一个被他们成功渗透的账户变成收集数据的金矿。
假设他们设法入侵了大约1000个账户,这些账户都有银行信息或信用卡凭证,他们就可以抽走资金或利用这些信息进行其他形式的欺诈。其他个人身份信息(PII),如 身份证号码或税务信息,可以用来实施犯罪,如身份盗窃 —— 就是用您的身份干坏事,让您背锅。
攻击者会将他们在每个账户中发现的任何信息货币化,这使得尽管登录凭证即便匹配率很低,攻击也是很值得的。
填充攻击是如何进行的?
当然,攻击者不会手动将偷来的登录凭证逐一输入不同的网站,因为他们需要数以百万计(甚至数十亿计)的偷来的登录凭证才值得进行攻击。
相反,这些泄露数据会被加载到僵尸网络中,发起自动登录尝试。然后,他们会使用进一步的工具来逃避检测。
一个僵尸网络每小时可以进行数千次登录尝试。例如,2016年的一次凭证填充攻击使用的僵尸网络,每小时在多个网站上发送超过27万次登录请求。
填充攻击如何逃避检测?
虽然许多网站使用安全措施来检测恶意登录尝试,但黑客已经找到了规避这些措施的方法。
一个代理列表被用来反弹请求,并掩盖源头,或者简单地说,使登录请求看起来像是来自不同的位置。他们还使用其他工具,使其看起来像是多次登录尝试来自不同的浏览器。
这样做的原因是,只来自一种类型的浏览器的多次登录尝试(例如,每小时一千次)看起来很可疑,并且有更大的机会被标记为欺诈。
所有这些技术都可以模仿不同地点的数千名用户的合法登录活动。这使得攻击向量变得简单,但却很难被发现。
凭证填充攻击和暴力攻击之间有什么区别?
凭证填充是暴力攻击的一种子类型,因为它更有针对性,所以更有效。
暴力攻击本质上是使用不同的随机字符组合来猜测密码。他们使用自动软件通过测试几种可能的组合进行多次猜测,直到发现密码。
另一方面,凭证填充使用以前数据泄露的登录细节和密码。他们使用一个网站泄露的密码-用户名对,然后在其他服务上进行测试。
虽然使用强大的密码可以保护您免受暴力攻击,但是,如果您在其他网站上使用相同的密码,当填充攻击发起时,您就会中招。
凭证填充和凭证转储有什么区别?
虽然看似相同,但凭证转储是一种不同类型的攻击,针对一个入口点或机器来渗透网络。
凭证填充使用以前泄露的多个登录凭证进入其他网站,而凭证转储则是进入一台机器并提取多个登录凭证。
这是通过访问计算机许多注册表中的凭证缓存或从安全帐户管理器(SAM)数据库中提取凭证来实现的。后者包含所有创建的帐户,密码保存为哈希值。
凭证转储攻击的目标是获得进入网络的立足点或进入系统中的其他计算机。在从一台机器上提取登录凭证后,攻击者可以重新进入设备或进入整个网络造成更大的破坏。
与填充不同的是,凭证转储攻击是利用一个入口,一台存在未修补漏洞的机器来渗透整个网络。
如何保护自己免于凭证填充攻击?
对于大多数用户来说,最好和最简单的保护自己的方法是对每个网站或账户使用独特的密码。至少,对于那些有您的敏感信息的网站,必须要这样做。
启用双因素验证(2FA)或多因素验证(MFA)有助于使攻击者更难接管账户。
如果您发现记住多个密码和用户名很混乱,您可以使用一个可靠的密码管理器。如果您不确定它们的安全性,请查看下面的密码管理器使用的安全方法。
或者尝试一个开源的密码管理器。比如,KeePass Password Safe、Bitwarden、Passbolt、Psono、Teampass。
如何安全地使用密码管理器
密码管理器有几种,您可以对比一下根据您的具体情况选择。
1、离线密码管理器
在电脑上运行的密码管理器应用程序必须将您的密码保存在某个地方。一种方法是将这些信息放在电脑上的一个文件中。由于这个文件包含非常敏感的数据,任何一个像样的密码管理器都会确保对该文件进行加密。
加密后的数据并非无法完全破解,但对于大多数人来说,这是一项很难完成的任务。另外,它需要的时间真的很长。大多数盗贼不会费心费力去做这种事。即使是警察部门和政府间谍也会觉得这个任务非常艰巨。但只要有足够长的时间和非常大的意愿,还是可以做到的。
因此,虽然您的数据并非坚不可摧,但很可能是安全的,除非您做了一些惊天动地的事,让自己成为间谍和警察认为的 “值得努力的目标” 。
如何获取您的数据?最简单的方法是主密码。您的密码管理器会要求您创建一个解密文件所需的密码,就如一个金库,其中包含了您所有其他密码。
您可以通过要求提供密钥来使这个金库更难被破解,密钥是一个存在于电脑或U盘等单独设备上的隐藏文件。
优点:
提供最大的控制力和灵活性
只有您知道您的数据存储在哪里
缺点:
可能需要更多的技术知识
最不适合多设备使用
📌 当您把所有的密码都放在一个地方时,您就创造了安全专家所说的单点故障。就如您把所有的现金都存放在一个金库里,那么有人只需要瞄准一个地方就可以拿走您的全部财产。如果您把密码存储在不止一个文件中,那么就会增加盗取您所有数据的工作量。
您可以通过加密并将每个密码存储在自己的文件中,使攻击企图更难完成。您可以使用Pass密码管理器来实现这一点。
离线密码管理器往往是免费使用的。有些可能有需要额外付费的功能。Enpass 是下面唯一有付费选项的。
Download: Keypass (免费)
Download: Password Safe (免费)
Download: Enpass (免费下载,应用内交易)
Download: Pass (免费)
2、在线密码管理器
密码管理器已经存在了很长时间,但在过去的十年里,人们上网的方式已经发生了变化。许多人不再有一台主要的电脑。现在的人们经常有许多设备,并且很可能从手机和笔记本电脑上登录自己的银行账户。
有了多种设备,密码管理器可能会带来挑战。如果您的口令都存储在一台电脑上,并且是随机生成的,您既不能在另一台设备上访问它们,也难以记住它们来手动输入。在某些情况下,您可以同步您的密码,但如果不存在兼容的移动应用程序,您就麻烦了。
进入在线密码管理器。这些服务将您的凭证存储在网上,您可以从多个设备访问它们。
📌 但是,基于互联网的密码管理器有一个很大的漏洞。您的一切密码现在都可以在线获取。如果有人能够访问这些数据,他们就可以冒充您,控制您的账户,并窃取您的金钱和身份。这就像有人拿到您家的门钥匙、钱包和社保卡一样糟糕。
为了降低风险,服务会先对设备上的密码进行加密,然后再将数据上传到网上。但并不是所有的服务都以同样的方式处理和保护这些数据。如果您忘记了您的主密码,他们是否有能力重置您的主密码?他们是如何处理安全问题的?事先了解这一切。
为了方便起见,网站能够帮助您重新获取数据是很好的;但是,如果在该公司工作的人能够做到这一点,那就意味着入侵者也可以做到。这些公司还经常添加额外的功能来吸引用户,最终会让您的数据面临更大的风险,比如自动登录网站。
优点:
使用最简单
同步是自动的
支持最广泛的设备数量
缺点:
您的数据是在线存储的
一些便利的功能只会让您的安全感降低
许多功能都要花钱
在线密码管理器是最商业化的。虽然很多都是免费使用的,但它们通常会为付费用户保留某些功能。有些服务根本需要付费才能使用。
Download: LastPass (免费)
Download: Bitwarden (免费)
Download: Dashlane (免费)
Download: 1Password (免费下载,付费使用)
3、无状态密码管理器
即使有加密功能,使用上述任何一种方法都意味着创建一个以前不存在的密码记录。这不是您使用密码管理器可能承担的唯一风险。这样的因素会让人对使用密码管理器的想法特别反感。
但是,有一些密码管理器并没有将您的密码的加密副本到处乱放。取而代之的是,它们会根据简单、易记的变量生成密码。一种常见的方法是使用您的主密码和网站名称的组合来创建密码。
每次输入这些信息,您都会得到相同的密码。
即使攻击者知道您使用的是哪种程序和底层算法,他们仍然需要您的主密码、网站名称和密码的长度来复制您的安全密钥。另一方面,如果有人破解了一个账户,并找出了您的主密码,那么他们就有可能在不需要破解任何形式的金库的情况下,找出您所有的其他密码。
优点:
没有密码库需要保护
无需同步数据
缺点:
没有办法注意到有异常密码要求的网站
没有简单的方法来处理您不得不更改密码的网站。
无状态密码管理器往往是开源项目,您可以免费下载。
Download: PwdHash
Download: SuperGenPass
Download: LessPass
Download: HashPass
哪个密码管理器系统是最好的?
一个只存在于桌面上的密码管理器是很好的,但如果您采取快捷方式从手机或库登录,就可能会留下漏洞。在线密码管理器可能更方便、更直观,但您的密码还是在别人手里。您该怎么做呢?
没有所谓的完美安全。如果您是在最隐秘的条件下工作,也许应该选择保存单独的密码库,所有的关键文件都用不同的U盘来保护。听起来好像太麻烦了?即使您的技术经验仅限于知道如何使用电子邮件和社交媒体,您也可以很容易弄清楚 LastPass 或 1Password。
这些选项中的任何一个都比重复使用相同的几个密码更安全。一旦您开始使用密码管理器,就已经在反击攻击者了。⚪️
最好的记录方法应该是随身携带小型笔记本。