凭证填充是一种网络攻击，涉及将被盗凭证“填充”到多个网站中。

像bot这样的工具让黑客能够自动填充，让他们在短时间内对数十个站点测试数百万个登录凭据。以下是您需要了解的有关这次攻击的信息以及保护自己的简单方法。

什么是凭证填充(credential stuffing)？

凭证填充包括将大量被盗密码和用户名塞进多个网站。他们依靠在黑暗网络上兜售的怪物入侵和泄密来获取数据。我们的目标是利用之前泄露的数以百万计的登录和用户名组合，渗透到其他网站。

他们依靠一个人为错误使他们的攻击在多个站点上使用相同的用户名和/或密码成功。根据研究，高达85%的用户在不同的账户上循环使用密码。

正是这种想法让网络犯罪分子利用一个网站漏洞的登录凭证进入其他服务。

成功率很低，只有0.1%到2%左右。这意味着，每测试一百万个登录凭据，就只能使用大约1000个凭据进入其他网站。但让他们的努力值得的是，他们可以从他们渗透到的每个账户收集数据的金矿。

据说他们成功入侵了上千个账户，这些账户有银行信息或信用卡凭证。他们可以挪用资金或利用这些资金进行其他形式的欺诈。其他个人身份信息（PII）如社会保险号码或税务信息可用于实施身份盗窃等犯罪。

网络罪犯将他们在每个帐户中发现的任何东西都货币化，这使得尽管登录匹配率非常低，但攻击还是值得的。

如何进行填充攻击？

当然，黑客不会手动将被盗的登录凭据逐个输入不同的网站，因为他们需要数百万（甚至数十亿）被盗的登录凭据才能使攻击物有所值。

取而代之的是，来自数据泄露的破解凭证被加载到启动自动登录尝试的僵尸网络中。然后他们使用进一步的工具来逃避侦查。

相关：什么是僵尸网络？你的电脑是僵尸网络的一部分吗？

一个僵尸网络每小时可以进行数千次登录尝试。例如，2016年的一次凭证填充攻击使用了一个僵尸网络，每小时跨多个站点发送超过270000个登录请求。

填充攻击如何逃避检测？

虽然许多网站使用安全措施来检测多个恶意登录，但黑客已经找到了规避这些措施的方法。

代理列表用于跳出请求并屏蔽源，或者简单地说，使登录请求看起来好像来自不同的位置。他们还使用其他工具使其看起来像来自不同浏览器的多次登录尝试。

之所以这样做，是因为只有一种浏览器（例如，每小时1000次）的多次登录尝试看起来可疑，而且更有可能被标记为欺诈。

所有这些技术都模拟了不同地点成千上万用户的合法登录活动。这使得攻击向量简单，但难以检测。

凭证填充和暴力攻击有什么区别？

凭证填充是一种暴力攻击的子类型，由于其更具针对性，因此更加有效。

暴力攻击本质上涉及使用不同的随机字符组合猜测密码。他们使用自动化软件，通过测试几种可能的组合来进行多次猜测，直到发现密码。这是没有上下文的。

另一方面，凭证填充使用以前数据泄露的登录详细信息和密码。他们使用一个网站泄露的密码-用户名对，然后在其他服务上进行测试。

虽然使用强密码可以保护您免受暴力攻击，但如果您在其他网站上使用相同的密码，当发起填充攻击时，这是没有用的。

凭证填充和凭证转储有什么区别？

虽然看起来是一样的，但凭证转储是一种不同类型的攻击，其目标是一个入口点或一台机器以渗入网络。

当凭证填充使用以前的漏洞中的多个登录凭证进入其他网站时，凭证转储涉及进入一台计算机并提取多个登录凭证。

这是通过访问计算机的许多注册表中的缓存凭据或从安全帐户管理器（SAM）数据库中提取凭据来实现的。后者包含所有创建的帐户，密码保存为哈希值。

凭证转储攻击的目标是在网络中站稳脚跟，或者进入系统中的其他计算机。在从一台计算机中提取登录凭据后，黑客可以重新进入设备或访问整个网络，从而造成更大的破坏。

与填充不同，凭证转储攻击使用一个入口点、一台具有未修补漏洞的机器来渗透网络。

相关：什么是凭证转储？用这4个小贴士保护自己

你如何保护自己免受攻击？

对于大多数用户来说，保护自己的最佳和最简单的方法是为每个网站或帐户使用唯一的密码。至少，对于那些拥有你的敏感信息的人，比如银行或信用卡的详细信息。

启用双因素身份验证（2FA）或多因素身份验证（MFA）有助于提高黑客接管帐户的难度。这些依赖于第二种验证方式，即向您的电话号码发送代码，同时要求您输入用户名和密码。

如果你发现记住多个密码和用户名让人困惑，你可以使用一个可靠的密码管理器。如果您不确定他们的安全性，请查看密码管理器使用的安全方法。

或者试试开源的密码管理器。

保护您的密码

你的密码就像你家的钥匙。它必须是独特的，强大的，最重要的是，你需要保持在一个安全的地方，在任何时候。

这些也需要令人难忘和安全。你可以探索不同的密码工具，可以帮助你作出独特但难忘的黑客很难破解的。