什么是证书填充?你需要知道的一切

在本快速指南中,我们将介绍凭据填充的基本知识、凭据填充攻击以及如何防止凭据填充攻击。

恭喜您来到这里:您即将把在线安全提升到一个全新的水平!今天,您将了解到关于凭证填充攻击的所有知识。这种流行的网络攻击是指恶意攻击者利用从数据泄露中获得的登录凭据入侵其他账户。由于人们会重复使用密码,因此这种攻击非常有效,但同时你也可以轻松防范!


我们中的大多数人都创建过在线账户,并在其中几个甚至所有账户中使用相同的简单密码或用户名。现在,你可能已经被告知或被警告要为你的每个在线账户创建不同的密码,并确保密码中包含大写、小写、数字甚至符号。这样做的一个重要原因是为了避免成为凭证填充攻击的一部分。

什么是凭证填充攻击?

当攻击者从某项服务(涉及数据泄露)中窃取大量登录凭据,并使用这些凭据试图侵入您在其他在线平台上的账户时,就会发生凭据填充攻击。在本指南中,我们将为您解答 “什么是凭据填充 “和 “什么是凭据填充攻击 “等问题,并介绍保护自己免受此类攻击的方法。

目录:

凭证填充是一种网络攻击,当从数据泄露集中获取大量用户凭证(如用户名、密码和电子邮件地址),然后使用自动工具登录其他服务时,就会发生这种攻击。但黑客是如何入侵你的凭据的呢?攻击者试图从发生的数据泄露事件中获取密码、电子邮件地址和用户名(凭据)列表,并利用它们尝试登录大量其他账户—这就是为什么为您的每个在线账户使用不同的高强度密码如此重要的原因之一。如果您使用相同的弱密码,如 [name1234] ,您就有可能成为凭证填充攻击的受害者。

根据Digital Shadows 的一份报告,目前互联网上有超过 150 亿个被盗凭据。因此,由于这些凭据很容易获得且大量存在,再加上智能凭据填充工具使用机器人来通过常见的登录保护,这使得凭据填充成为最常用的访问用户账户的技术之一。

凭据填充攻击是如何发生的

  1. 恶意攻击者通过网络钓鱼攻击、网站漏洞或密码转储网站获取密码和用户名。
  2. 他们使用机器人和自动化工具在社交媒体网站或网上银行等网站上测试这些窃取的凭据。
  3. 如果凭据与另一个网站匹配,攻击者就成功获得了另一个用户账户的访问权限。

Anatomy of a credential stuffing attack. Anatomy of a credential stuffing attack.

当攻击者从数据泄露中获得用户凭证时,就会发生凭证填充攻击。然后,攻击者试图利用窃取的数据访问用户的其他账户。

最近的凭证填充攻击

- 诺顿 LifeLock- 2023 年,诺顿 Lifelock 密码管理器遭受凭据填充攻击,攻击者使用窃取的凭据访问用户账户。超过 925,000 人成为攻击目标。

-Zoom- 2020 年,攻击者试图利用过去泄露的数据访问 Zoom 用户账户。超过 500,000 个 Zoom 账户在这次攻击中被泄露,并在暗网上出售。

- 任天堂- 2020 年,全球游戏和娱乐公司任天堂遭遇攻击,16 万任天堂账户被攻击。

多年来,一系列跨国公司都发生过许多丑闻性的数据泄露事件,如 2021 年的 LinkedIn、2014 年和 2017 年的雅虎(最好考虑删除你的雅虎账户),以及 2019 年的 Facebook—由于Facebook 对你的情况了如指掌,这次事件尤其糟糕。如果你想知道自己的数据是否已经泄露,可以查看Cyber News 的个人数据泄露检查HaveIBeenPwned

但是,一旦攻击者成功入侵了我的账户,他们能做什么呢?

一旦攻击者掌握了您一个账户的登录凭据,而这些凭据可能也适用于您的另一个账户,他们就可以做一系列事情。

- 盗取任何储值或积分,或进行购物。

- 获取敏感信息,如私人信息、图片、文件甚至信用卡号码。

- 从你的账户发送垃圾邮件和网络钓鱼信息。

- 获取您的凭据并将其出售或交易给其他攻击者。

凭据填充攻击是一种严重的网络威胁,因为这些攻击为恶意行为者如何对您造成伤害的许多其他攻击铺平了道路:身份盗用、有针对性的网络钓鱼攻击,或者只是访问您的 PayPal 或亚马逊账户并将您的付款详细信息据为己有。

凭证填充与暴力攻击—有什么区别?

根据 OWASP 的说法,凭证填充是暴力破解攻击的一个子集,但实际上凭证填充攻击与传统的暴力破解攻击截然不同。在暴力攻击中,攻击者会在没有任何背景或线索的情况下尝试猜测密码。暴力攻击使用混合字符和数字或常见的密码建议来尝试访问账户。这与凭证填充类似,但并不相同,在凭证填充中,攻击者使用从数据泄露中窃取的真实数据。

为了保护自己免受暴力攻击,建议您使用由大小写字符、数字和特殊字符组成的强密码。不幸的是,您的密码强度并不能保护您免受凭据填充攻击—防止这种攻击的最佳方法是为您的每个账户使用不同的密码

如何保护自己免受凭据填充攻击

成功实施凭据填充攻击的主要原因是用户在多个账户中使用了相同的密码—没错,这就是提示你更新密码的信号!幸运的是,我们有一份关于如何创建和记忆强密码的指南。

用唯一且强大的密码更新所有密码的最简单方法之一就是使用像KeePassXC 这样内置密码生成器的密码管理器。这样,您的所有密码都将被安全存储,您只需记住密码管理器的登录信息即可访问您的所有凭证。使用密码管理器有硬币的两面—就像诺顿 Lifelock 密码管理器遭受的凭证填充攻击所显示的那样:如果密码管理器发生泄漏或数据泄露,其中存储的所有密码都有可能成为凭证填充攻击的受害者。这就是为什么只使用像 Bitwarden 或 KeePass 这样使用加密技术保护密码,并以开源方式发布代码的密码管理器至关重要的原因。如果您选择我们上面推荐的最佳密码管理器,那么存储在其中的密码发生数据泄露的可能性几乎为零:这些应用程序使用您自己的加密密钥来保护您的密码,因此,只有您自己才能解密您的密码。即使发生数据泄露,攻击者也无法窃取您的密码。

总之,为了防止成为凭证填充攻击的受害者,你需要为每个账户设置不同、唯一和强大的密码。

不要再成为雅虎数据泄露事件的受害者!

如果你是雅虎电子邮件用户,那么你很有可能已经卷入了数据泄露事件。2013 年,雅虎发生了大规模数据泄露事件,30 亿用户账户全部受到影响,2014 年又发生了另一起泄露事件,超过 5 亿雅虎邮箱用户账户被泄露。是时候抛弃雅虎,选择像 Tuta Mail 这样注重隐私的替代品了。

如果你想删除雅虎账户,这里有一份关于如何删除雅虎账户的分步指南;如果你想更换到一个没有发生过数据泄露事件的注重隐私的电子邮件提供商,我们推荐你使用 Tuta Mail。请查看我们的雅虎与 Tuta Mail 指南,了解 Tuta Mail 与雅虎邮箱的比较。

在当今的网络世界中,隐私对于网络用户来说变得越来越困难和遥不可及。想用 Gmail 创建一个新的电子邮件帐户?或者在网上买一件衬衫?那么,你需要先向他们提供一系列私人信息!互联网不该是这样的。

不幸的是,微软、谷歌和 Meta 等大型科技公司对权力、金钱和数据如此饥渴,以至于他们收集你的私人信息,通过他们的应用程序跟踪你,并将你的数据卖给广告商以获取利润。作为回报,你会成为广告目标,得不到应有的隐私。 令人担忧的是,要使用这些不同的在线服务,你总是需要提供自己的私人信息,如手机号码或电子邮件地址。正因为如此,如果这些服务中的某一项涉及数据泄露,那么你的私人信息就很有可能不再那么私密了!

我们建议您改用注重隐私的电子邮件提供商,如 Tuta Mail,它在创建账户时不会要求您提供私人信息。使用 Tuta Mail,您可以匿名注册,它是免费的,而且您的整个邮箱都是端到端加密的。

Tuta 是在德国建立的电子邮件和日历服务,严格遵守欧盟 GDPR 法律。除此之外,Tuta 还完全开源,并遵守严格的隐私和安全协议。Tuta Mail 在电子邮件隐私和安全方面处于领先地位,甚至可以说是世界上最安全的电子邮件提供商

今天就注册免费的 Tuta Mail 账户,享受您应得的在线隐私保护。