什么是凭据填充 – 黑客如何尝试未经授权 Logins

25年2020月XNUMX日 By 尼克·安德森 没有评论 5分钟

您的在线凭证是使您能够访问各种服务的最重要的信息。 凭据验证所有权。 这是您注册的在线平台的密钥。 由于极其敏感，此信息对黑客来说很有价值。 了解黑客如何使用凭据填充来访问您的帐户以及如何防止这种情况发生。

凭证填充解释

黑客攻击是一种未经授权访问系统以执行恶意行为的做法。 您一定听说过不时成为技术领域头条新闻的服务漏洞。 看到有关数百万帐户被盗的报道并不少见。 攻击服务的主要目的是提取包含 login 用户信息。
即使失败的尝试也至少可以获取一些数据。 通常，当服务受到违规影响时，它会发布新闻稿，将事件通知公众。 它还会通过电子邮件向注册用户发送电子邮件，要求他们立即更改其凭据，因为此类违规行为在被发现之前至少会带走一部分数据库，并且安全防御措施会将其踢出。
但是重置该特定帐户的密码不应该是您唯一要做的事情。
一旦网络攻击窃取了用户的凭据，他们就会在暗网中出售给任何愿意为此付费的人。 暗网是各种非法活动发生的地方。 您可以在我们的网站上了解暗网 blog. 互联网的这个弱点是被盗数据出售的地方。
正如我们所提到的，重置该帐户的密码并不能完全保护您免受授权访问。 用户倾向于在多项服务中使用一个密码。 这是凭据填充进入其他帐户的地方。
一旦黑客获得凭据，它就会在其他服务上进行反复试验，以查看密码是否匹配。 当然，在其他各种网站上手动插入用户列表及其凭据将非常耗时，因此黑客将这项工作委托给了机器人。

网站将 CAPTCHA（完全自动化的公共图灵）置于 login 阻止群众 login 尝试。
但即使存在超时和 IP 禁令等限制，凭据填充也可以成功。 绕过这些限制的工具跳转 login 多个 IP 地址之间的尝试。 因此黑客可以继续尝试密码而不会被锁定。

真正的危险是信用卡信息在网上泄露，而不仅仅是社交媒体平台的凭据。
网络攻击的一个例子是雅虎。 互联网服务公司 发现 2013 年的一次泄露泄露了 3 亿用户的信息，成为历史上最大的数据泄露事件。

凭据填充不是蛮力

凭据填充可能看起来是一种蛮力技术，但这是不正确的。 蛮力是一种将随机生成的密码应用于帐户直到找到正确组合的技术。 此处与凭据填充的区别在于处理未知数——没有关于帐户凭据的指示或信息。 暴力破解更耗时并且需要更多的计算资源。 计算能力直接影响暴力破解的效率。
凭据填充只是获取已知凭据并开始将它们应用于其他服务。 这就像拥有一把钥匙并希望有另一把锁可以接受它。

如何防御撞库

一旦服务遭到破坏，您无能为力。 这完全取决于服务保护您的数据安全的能力。
请记住，生成强密码只会保护您免受暴力破解。 包含大写和小写字母、特殊字符和数字的密码构成了一个强大的组合。
但是，您可以做的一件事——也应该做的——是在所有帐户中使用不同的密码。 记住具有唯一组合的多个密码是一项挑战，因此使用密码管理器会派上用场。 如果密码管理器提供 Web 浏览器扩展程序，那么它会自动为您填写凭据 login.
除了强而独特的密码外，还启用双因素身份验证 (2FA)。 该功能是对未经授权的强大防御 logins 并添加第二层验证。 尽管它要求您始终随身携带一个活动号码，但好处远大于麻烦。 第一次双因素认证后，您可以选择允许以后 login来自同一设备或为每个设备保留 2FA login.
有些服务会通知您是否有 login 尝试使用不熟悉的设备。
但安全漏洞并不是黑客获取凭据的唯一途径。 互联网上薄弱的安全性可以让黑客拦截数据包。 突出的例子是如何使用公共 Wi-Fi 热点来执行 人在这方面的中间人 攻击。 不安全的网络或网站与用户之间不安全的连接有可能给黑客可乘之机。
今天大多数网站都使用 HTTPS 来通过加密来保护互联网通信。 但是，VPN 会对每个出站流量进行加密，包括仅使用 HTTP 的网站。 FastestVPN的军用级加密将确保在旅途中浏览不安全的网络时的安全性。

总结

尽管如此，前景并不像听起来那么令人不安。 据估计，只有不到 0.5% 的撞库尝试是成功的。 但这不应妨碍您采取预防措施。 切勿在多个网站上使用密码； 这是你必须遵守的规则。

订阅电子报

接收本周的热门帖子和最新公告 FastestVPN 通过我们的电子邮件通讯。

联系邮箱