在之前的粉絲文 我們提到了reCAPTCHA,文末有預告了憑證填充攻擊這個名詞,所以這次就讓小編來談談何為憑證填充攻擊、它是如何執行、會有什麼危害,以及該如何防範吧!
憑證填充攻擊?它是要填什麼?會有怎樣的影響嗎?
憑證填充攻擊(Credential Stuffing Attacks),也被稱之為撞庫攻擊,是指駭客取得大量外流的帳號密碼後,利用自動化的方式去不斷地進行帳密的輸入直到測出正確的組合為止,利用這組帳密,駭客便能夠冒充受害者的身分去進行目標網站的使用。
此外,由於大多數人都有不同網站使用相同帳號密碼的習慣,因此若是資料外流又被駭客試出正確的組合的話,將有可能一次性地被盜取多個網站的身分。
而對於受攻擊之廠商方面,若是未在登入頁面實施輸入的限制的話,憑證填充攻擊也能成為一種DDoS(Distributed Denial-of-Service attack)的方式。一旦伺服器遭受大量登入請求時,將有可能造成網路資源被耗盡,導致網站無法將服務提供給正常的使用者,而用戶的資料一旦外流甚至被盜用則會導致廠商聲譽受損。
我的帳號真的有那麼重要嗎?
有些人可能認為自己並不是知名人物,也不是特別有錢,因此沒有在帳號控管上花點心思,然而你的帳號可是比你想得還要有用,例如帳號中的用戶資料將能夠用以偽造身分、申請貸款,若是金融相關的網站還可能包含信用卡等資訊,到時候受害者將會直接性的在財務上受到傷害。
上一段文章中也有提到多數使用者有在不同網站共用同一組帳密的習慣,而洩漏的資料可能也包含了電子信箱的資訊,又如果剛好電子信箱的密碼與被盜網站的密碼相同,那駭客將能夠取得使用者的信箱,並從收件匣中的信件獲得更多可盜用之網站。
而且大多社群網站是以信箱作為帳號,這時駭客便可利用這組帳密登入社群網站,輕則用來當作各種廣告張貼地;重則利用被駭者與其親友間的信任,散播釣魚網站、木馬病毒,將攻擊範圍再進一步擴張。
說了這麼多,我該如何防止這種情形呢?
正如前面所說,憑證填充攻擊對企業或是使用者都是具有相當大的危害,對於企業來說,避免自動化輸入是首要之急,此外設置一些限制以增加攻擊者突破驗證所需的時間也是必須的;對於使用者來說,避免帳密的外流以及避免被成功測出組合是最為重要的,以下是小編幫各位準備之懶人包:
企業方面:
- 創立帳號以及變更密碼等網頁設置密碼建議以避免過於簡單的密碼。
- 使用雙重認證(2FA),例如登入時需要登入者與帳號連結之手機進行互動以解鎖登入限制。
- 使用reCAPTCHA以防止機器人自動輸入。
- 設置當使用者數次登入失敗後可以再次登入的間隔時間。
- 監控網路流量,以便偵測到大量流量時採取對應行動。
使用者方面:
- 定期更換密碼,建議每半年改一次。
- 不同網站使用不同的密碼。
- 不使用過於簡單的密碼,如:abc1234。
- 使用大小寫、數字以及特殊符號混雜而成的密碼。
- 避免點入釣魚網站、釣魚信件以防止個資外洩。
- 開啟2FA功能,讓帳號與手機做連結,避免帳號被其他人直接登入。
Reference
1. 前次相關文章:我不是機器人?為什麼到處都要勾選這玩意?