由於“憑證填充”,總共有5億個Zoom賬戶在黑暗網路上出售。這是犯罪分子在網上打入賬戶的常見方式。下面是這個詞的實際含義,以及你如何保護自己。...
由於“憑證填充”,總共有5億個Zoom賬戶在黑暗網路上**。這是犯罪分子在網上打入賬戶的常見方式。下面是這個詞的實際含義,以及你如何保護自己。
從洩露的密碼資料庫開始
對線上服務的攻擊很常見。犯罪分子經常利用系統中的安全漏洞獲取使用者名稱和密碼資料庫。被盜登入憑證的資料庫通常在黑暗網路上線上**,犯罪分子用比特幣支付訪問資料庫的特權。
假設你在Avast論壇上有一個帳戶,早在2014年就被破解了。該帳戶已被攻破,犯罪分子可能在Avast論壇上擁有你的使用者名稱和密碼。Avast聯絡了你,讓你更改了論壇密碼,那有什麼問題?
不幸的是,問題是許多人在不同的網站上重複使用相同的密碼。假設您的Avast論壇登入詳細資訊是“[email protected]如果你使用相同的使用者名稱(你的電子郵件地址)和密碼登入其他網站,任何獲取你洩露的密碼的罪犯都可以訪問其他帳戶。
相關報道:什麼是暗網?
憑證填充操作
“憑證填充”涉及使用這些洩露了登入詳細資訊的資料庫,並嘗試在其他線上服務上使用這些資料庫登入。
犯罪分子利用大量洩露使用者名稱和密碼組合的資料庫(通常是數百萬個登入憑據),並試圖在其他網站上使用它們進行登入。有些人在多個網站上重複使用相同的密碼,所以有些人會匹配。這通常可以透過軟體實現自動化,快速嘗試多種登入組合。
對於一些聽起來技術性很強的非常危險的東西,它只是在嘗試其他服務上已經洩露的憑據,看看什麼是有效的。換句話說,“駭客”把所有的登入憑證塞進登入表單中,看看會發生什麼。其中一些肯定能奏效。
這是目前攻擊者“入侵”線上帳戶的最常見方式之一。僅在2018年,內容交付網路Akamai就記錄了近300億次憑據填充攻擊。
相關:攻擊者如何實際“駭客帳戶”網上和如何保護自己
如何保護自己
保護自己不受憑證填充的影響非常簡單,需要遵循多年來安全專家推薦的相同密碼安全實踐。沒有什麼神奇的解決辦法,只有良好的密碼衛生。建議如下:
- 避免重複使用密碼:為線上使用的每個帳戶使用唯一的密碼。這樣,即使你的密碼洩露,也不能用來登入其他網站。攻擊者可以嘗試將您的憑據填充到其他登入表單中,但它們不起作用。
- 使用密碼管理器:如果你在相當多的網站上有帳戶,而且幾乎每個人都有,那麼記住強而唯一的密碼幾乎是不可能的任務。我們建議使用像1Password(付費)或Bitwarden(免費和開源)這樣的密碼管理器為您記住密碼。它甚至可以從零開始生成那些強密碼。
- 啟用雙因素身份驗證:使用兩步身份驗證,每次登入網站時,您必須提供由應用程式生成或透過簡訊傳送給您的程式碼。即使攻擊者擁有您的使用者名稱和密碼,如果他們沒有該程式碼,也無法登入到您的帳戶。
- 得到洩露的密碼通知:與一個服務,如我被Pwned?,您可以在憑據出現洩漏時收到通知。
相關:如何檢查你的密碼是否被盜
服務如何防止憑據填充
雖然個人需要承擔起保護其帳戶安全的責任,但線上服務有許多方法可以防止憑據填充攻擊。
- 掃描洩露的資料庫中的使用者密碼:Facebook和Netflix已經掃描了洩露的資料庫中的密碼,將它們與自己服務上的登入憑據進行交叉引用。如果有匹配,Facebook或Netflix可以提示自己的使用者更改密碼。這是一種擊敗憑證填充器的方法。
- 提供雙因素身份驗證:使用者應該能夠啟用雙因素身份驗證來保護他們的線上帳戶。特別敏感的服務可以強制執行此操作。他們還可以讓使用者單擊電子郵件中的登入驗證連結來確認登入請求。
- 需要驗證碼:如果登入嘗試看起來很奇怪,服務可能需要輸入顯示在影象中的驗證碼,或者單擊另一個窗體來驗證是否有人而不是機器人正在嘗試登入。
- 限制重複登入嘗試:服務應嘗試阻止機器人在短時間內嘗試大量登入嘗試。現代複雜的機器人可能會試圖同時從多個IP地址登入,以掩蓋他們的憑證填充嘗試。
糟糕的密碼實踐,公平地說,不安全的線上系統,往往太容易妥協,使憑證填充線上帳戶安全的嚴重危險。難怪科技行業的許多公司希望建立一個沒有密碼的更安全的世界。
相關報道:科技行業想扼殺密碼。還是真的?
