更新于 2023 年 11 月 30 日。
您可以采取以下措施来防范凭证填充攻击:使用唯一的强密码;启用 MFA;使用密码管理器;投资暗网监控工具;随时了解新兴网络威胁。
凭证填充通常会导致账户接管,账户接管是一种身份盗用事件,即网络犯罪分子入侵并接管他人的在线账户。 账户接管可以阻止用户访问自己的账户,网络犯罪分子会将接管的账户用于恶意目的。 要想保护自己的在线账户和身份信息,您需要防范凭证填充以及其他类型的网络攻击。
继续阅读本文,详细了解凭证填充攻击以及如何防范这类攻击。
什么是凭证填充?
凭证填充是一种网络攻击策略,网络犯罪分子试图利用窃取的凭证入侵用户的多个账户。 这种攻击的成功率很高,因为很多用户会在多个账户中重复使用相同的登录凭证。 在实施凭证填充之前,网络犯罪分子会通过网络攻击或安全漏洞窃取一组登录凭证,也可以从暗网上获取。 获取了一组经过验证的登录凭证后,他们就会利用一种程序将这组登录凭证输入数千个网站和应用程序中,目的是在几分钟内尽可能多入侵一些账户。 一旦网络犯罪分子入侵了您的账户,他们就可以利用这些账户来实施身份盗用、信用卡诈骗等等。
凭证填充与密码喷洒:有何不同?
凭证填充和密码喷洒都属于暴力攻击,但这两种方法有所不同。 凭证填充使用的是一组已知经过验证的登录凭证,而密码喷洒是尝试将多个用户名与常用密码进行匹配,从而找出一组经过验证的登录凭证。
凭证填充攻击突出了重复使用密码的风险。 在这种情况下,网络犯罪分子会先获取一组泄露的凭证,然后利用这对用户名和密码来尝试访问其他应用程序和网站。
在密码喷洒中,网络犯罪分子会尝试用一个常用密码与多个用户名进行配对,以获取账户访问权限。 如果匹配不成功,网络犯罪分子会换另一个常用密码继续尝试。 如果用户使用了弱密码或容易被猜到的密码,其账户就存在被盗风险。
防范凭证填充攻击的五种措施
Keeper 的 2022 年美国密码实践报告显示,56% 的用户会重复使用相同的密码,这一发现证明了凭证填充攻击的有效性。 不要让自己成为凭证填充攻击的受害者。 以下五个小技巧可以帮您远离凭证填充攻击。
1. 创建强密码
凭证填充能否成功实现账户入侵,取决于用户是否将登录凭证重复用于多个账户。 为了避免成为凭证填充攻击的受害者,您需要为所有账户设置唯一的强密码。 只要每个账户都使用唯一的密码,就能防止多个账户被接管。 强密码可以增加网络犯罪分子通过破解密码来入侵账户的难度。
强密码是由大小写字母、数字和特殊字符组成的唯一随机组合,至少应包含 16 个字符。 强密码应避免任何个人信息、连续字母或数字以及常见的字典单词。
2. 使用多因素身份验证
多因素身份验证 (MFA) 是一种包含一个或多个额外身份验证因素的安全措施。 要访问您的账户,您需要提供登录凭证以及其他形式的身份证明。 MFA 可以确保只有授权用户才能访问您的账户。 即使您的登录凭证被盗,MFA 也能阻止网络犯罪分子进入您的账户,从而防止凭证填充攻击成功接管您的账户。
3. 使用密码管理器
密码管理器是一种工具,可以将密码及个人信息安全地存储在加密保险库中并进行管理。 密码管理器支持用户在一个地方轻松访问所有唯一密码, 还可以识别重复使用的密码,从而防止凭证填充攻击。 大多数密码管理器都会提示用户使用内置密码生成器来创建唯一的密码。
4. 投资暗网监控工具
网络犯罪分子可以在暗网上找到登录凭证,然后用来实施凭证填充攻击。 您应该使用暗网监控工具来防范这类攻击。 暗网监控是指通过扫描暗网来检查是否有泄露的个人信息,如果在暗网上发现了您的个人信息,会向您发出警报。 使用暗网监控工具,您可以检查自己的登录凭证是否已落入暗网,并及时更改被盗凭证,以防发生凭证填充攻击。
5. 随时了解网络威胁相关动态
网络威胁(例如网络钓鱼和恶意软件)是指网络犯罪分子为了窃取用户登录凭证所采用的手段。 他们会利用窃取的登录凭证发起凭证填充攻击。 因此,要想保护您的登录凭证,您需要随时了解网络威胁相关动态。 通过学习如何识别网络威胁,您可以避免成为这些攻击的受害者,并防范凭证填充攻击。
Keeper® 如何防御凭证填充攻击
凭证填充是一种非常危险的网络攻击,您必须防范这类攻击,保护在线账户免遭网络犯罪分子入侵。 为每个账户设置唯一的强密码可以防止凭证填充攻击。 管理密码并避免重复使用的最佳方法是使用密码管理器。 密码管理器可以跟踪所有密码,确保您的密码都是唯一的强密码。
Keeper Security 提供了一款密码管理器,可以将密码安全存储在一个经 AES 256 位加密的密码保险库中。Keeper 密码管理器采用零信任和零知识加密保护,可确保只有您本人才能访问您的数据。 它还具有其他功能,例如 BreachWatch®,这是一款暗网监控工具,一旦在暗网上发现您的被盗密码,就会向您发出警报。
注册即可免费试用 Keeper 密码管理器,让您远离凭证填充攻击。