由于“凭证填充”，总共有5亿个Zoom账户在黑暗网络上**。这是犯罪分子在网上打入账户的常见方式。下面是这个词的实际含义，以及你如何保护自己。

从泄露的密码数据库开始

对在线服务的攻击很常见。犯罪分子经常利用系统中的安全漏洞获取用户名和密码数据库。被盗登录凭证的数据库通常在黑暗网络上在线**，犯罪分子用比特币支付访问数据库的特权。

假设你在Avast论坛上有一个帐户，早在2014年就被破解了。该帐户已被攻破，犯罪分子可能在Avast论坛上拥有你的用户名和密码。Avast联系了你，让你更改了论坛密码，那有什么问题？

不幸的是，问题是许多人在不同的网站上重复使用相同的密码。假设您的Avast论坛登录详细信息是“[email protected]如果你使用相同的用户名（你的电子邮件地址）和密码登录其他网站，任何获取你泄露的密码的罪犯都可以访问其他帐户。

相关报道：什么是暗网？

凭证填充操作

“凭证填充”涉及使用这些泄露了登录详细信息的数据库，并尝试在其他在线服务上使用这些数据库登录。

犯罪分子利用大量泄露用户名和密码组合的数据库（通常是数百万个登录凭据），并试图在其他网站上使用它们进行登录。有些人在多个网站上重复使用相同的密码，所以有些人会匹配。这通常可以通过软件实现自动化，快速尝试多种登录组合。

对于一些听起来技术性很强的非常危险的东西，它只是在尝试其他服务上已经泄露的凭据，看看什么是有效的。换句话说，“黑客”把所有的登录凭证塞进登录表单中，看看会发生什么。其中一些肯定能奏效。

这是目前攻击者“入侵”在线帐户的最常见方式之一。仅在2018年，内容交付网络Akamai就记录了近300亿次凭据填充攻击。

相关：攻击者如何实际“黑客帐户”网上和如何保护自己

如何保护自己

保护自己不受凭证填充的影响非常简单，需要遵循多年来安全专家推荐的相同密码安全实践。没有什么神奇的解决办法，只有良好的密码卫生。建议如下：

• 避免重复使用密码：为在线使用的每个帐户使用唯一的密码。这样，即使你的密码泄露，也不能用来登录其他网站。攻击者可以尝试将您的凭据填充到其他登录表单中，但它们不起作用。
• 使用密码管理器：如果你在相当多的网站上有帐户，而且几乎每个人都有，那么记住强而唯一的密码几乎是不可能的任务。我们建议使用像1Password（付费）或Bitwarden（免费和开源）这样的密码管理器为您记住密码。它甚至可以从零开始生成那些强密码。
• 启用双因素身份验证：使用两步身份验证，每次登录网站时，您必须提供由应用程序生成或通过短信发送给您的代码。即使攻击者拥有您的用户名和密码，如果他们没有该代码，也无法登录到您的帐户。
• 得到泄露的密码通知：与一个服务，如我被Pwned？，您可以在凭据出现泄漏时收到通知。

相关：如何检查你的密码是否被盗

服务如何防止凭据填充

虽然个人需要承担起保护其帐户安全的责任，但在线服务有许多方法可以防止凭据填充攻击。

• 扫描泄露的数据库中的用户密码：Facebook和Netflix已经扫描了泄露的数据库中的密码，将它们与自己服务上的登录凭据进行交叉引用。如果有匹配，Facebook或Netflix可以提示自己的用户更改密码。这是一种击败凭证填充器的方法。
• 提供双因素身份验证：用户应该能够启用双因素身份验证来保护他们的在线帐户。特别敏感的服务可以强制执行此操作。他们还可以让用户单击电子邮件中的登录验证链接来确认登录请求。
• 需要验证码：如果登录尝试看起来很奇怪，服务可能需要输入显示在图像中的验证码，或者单击另一个窗体来验证是否有人而不是机器人正在尝试登录。
• 限制重复登录尝试：服务应尝试阻止机器人在短时间内尝试大量登录尝试。现代复杂的机器人可能会试图同时从多个IP地址登录，以掩盖他们的凭证填充尝试。

糟糕的密码实践，公平地说，不安全的在线系统，往往太容易妥协，使凭证填充在线帐户安全的严重危险。难怪科技行业的许多公司希望建立一个没有密码的更安全的世界。

相关报道：科技行业想扼杀密码。还是真的？