每年都有數百萬個帳號成為憑證填充(credential stuffing,又稱「撞庫」)攻擊的受害者,這種方法自2022年起被廣泛使用,有報告指每兩次合法帳號登入,就有一次憑證填充攻擊。
憑證填充的運作
憑證填充是最有效入侵用戶帳號的方法之一,攻擊者取得大量在不同平台上登記的用戶名稱及密碼的資料庫,然後利用這些憑證在其他網上服務嘗試登入,希望當中有部份能夠成功登入。說穿了,這種攻擊就是針對那些在不同服務重複使用相同密碼的用戶,有時甚至有人全部使用相同密碼,結果攻擊者能夠藉此騎劫受害者在其他平台上的帳號。
資料庫的主要來自3個來源:
- 從大型網絡釣魚活動和釣魚網站中盜竊的密碼
- 利用特別設計的惡意程式盜竊工具攔截並盜竊憑證
- 網上服務資料外洩
數據外洩為網絡犯罪份子提供了非常可觀的密碼數量,而之前的紀錄保持者是2013年Yahoo!資料外洩量高達30億個,要注意基本上服務供應商不會以純文字記錄密碼,而是經過散列(hash),即使成功取得外洩的數據,攻擊者還需要破解這些散列,越簡單的密碼組合,需要的資源和時間越少,不過,如果網絡犯罪份子真的需要的話,即使是最強的密碼組合也總會被破解,所以避免重複使用相同密碼最為重要。
被盜的密碼資料庫隨著時間增長和整合新資料,其結果甚至遠超過地球人口的總數,於2024年1月最大型已被發現的密碼數據庫含有260億個紀錄。
防範憑證填充攻擊
要保護公司的資源免受憑證填充攻擊,我們建議:
- 教充員工資安的最佳實踐,瞭解重複使用密碼的危險。
- 建立和實施合理的密碼措施
- 鼓勵使用密碼管理員產生和儲存強力而唯一的密碼組合
- 可以的話強制使用雙重認證登入
資料來源:Kaspersky Blog
