密码喷洒和凭证填充有很多共同之处,但主要区别在于攻击的执行方式。 通过凭证填充,网络犯罪分子已经拥有了一组经过验证的登录凭证,而通过密码喷洒,网络犯罪分子必须通过将用户名列表与常用密码匹配来猜测登录凭证。
继续阅读,详细了解密码喷洒和凭证填充、它们之间的区别以及如何保护自己免受这些攻击。
什么是密码喷洒?
密码喷洒是一种暴力攻击,在这种攻击中,网络犯罪分子试图将常用密码与经过验证的用户名列表配对,直到他们得到匹配为止。 通过密码喷洒,网络犯罪分子可以通过在不同的帐户中使用相同的密码来避免登录尝试限制和帐户锁定。 他们利用那些不安全的密码使用习惯,例如使用弱密码和可预测的密码来保护他们的在线帐户的用户。
密码喷洒始于网络犯罪分子从在线目录、暗网或其他开放源码中获得用户名列表。 然后,网络犯罪分子会收集常用密码列表,并运行一个自动程序来选择一个与用户名列表配对的密码,直到他们得到尽可能多的匹配。 若第一个密码与用户名列表无匹配,网络犯罪分子会使用相同的用户名列表,但使用不同的密码重复这一过程。
什么是凭证填充?
凭证填充是另一种暴力攻击,在这种攻击中,网络犯罪分子窃取或购买一组经过验证的登录凭证,并利用它来访问多个帐户。 网络犯罪分子依赖于对多个帐户重复使用相同的密码。Keeper 的 2022 年美国密码实践报告显示了凭证填充的有效性,因为 56% 的用户会重复使用他们的密码。
网络犯罪分子通常从数据泄露、以前的网络攻击或在暗网上获得一套登录凭证。 一旦网络犯罪分子拥有了一组经过验证的登录凭证,他们就会使用自动工具在多个平台上输入登录凭证,以访问这些帐户。 有时,网络犯罪分子会使用登录凭证的细微变化来访问用户的其他帐户。
密码喷洒和凭证填充之间的区别
密码喷洒和凭证填充是暴力攻击的两种类型,可以给用户留下破坏性的影响。 如果密码喷洒和凭证填充攻击成功,它们可能会导致帐户接管,在这种过程中,网络犯罪分子可以完全控制用户的帐户,用于自己的利益。 网络犯罪分子可以访问受害者的个人身份信息(PII),这些信息可用于实施身份信息失窃和其他类型的欺诈。
然而,密码喷洒和凭证填充在获得未经授权的访问的方法方面有所不同。 通过凭证填充,网络犯罪分子已经拥有了一组可用于访问一个用户的多个帐户的经过验证的登录凭证。 密码喷洒没有一组登录凭证,必须通过将常用密码与用户名列表匹配来猜测它们。 密码喷洒攻击多个用户,而不是仅仅针对一个用户。
如何防止密码喷洒和凭证填充
通过保持良好的密码卫生,可以很容易地防止密码喷洒和凭证填充。密码卫生是指保持密码安全的最佳实践和习惯。 以下是防止密码喷洒和凭证填充的一些方法。
使用唯一的强密码。
密码喷洒利用使用弱密码和可预测密码来保护其在线帐户的用户。 为了防止密码喷洒猜出您的密码,您应该使用强密码来保护您的在线帐户。 强密码是由大小写字母、数字和特殊字符组成的随机组合,至少应包含 16 个字符。 密码应不包含任何个人信息、连续数字或字母或常用的字典单词。
凭证填充依赖于在多个帐户中重复使用密码的用户。 为了防止网络犯罪分子使用凭证填充并访问您的帐户,您应该为每个帐户使用唯一的密码,并避免重复使用任何密码。 为每个在线帐户使用唯一的强密码可以防止凭证填充和密码喷洒,使网络犯罪分子很难破解您的密码。
启用 MFA
多因素身份验证 (MFA)是一种需要提供额外的身份验证方式的安全协议。 为了访问帐户,用户必须提供其登录凭证以及至少一种额外的验证方式,例如基于时间的一次性密码 (TOTP)。 MFA 增加了额外的安全层,并确保只有授权用户才能访问您的帐户。 即使您的登录凭证被盗,网络犯罪分子也无法访问您的帐户,因为您的帐户受到 MFA 的保护,并且它们没有其他身份验证因素。
将密码存储在密码管理器中
密码管理器是一种在数字加密保险库中安全地存储和管理密码的工具。 使用密码管理器,您可以跟踪所有密码,并随时访问它们。 您的数字保险库受到多层加密的保护,只能使用强主密码访问。 密码管理器还可以通过识别任何弱密码或重复使用的密码来保护您的每个密码,并提示您使用内置密码生成器来加强密码。
投资一款暗网监控工具
网络犯罪分子可以在暗网上找到登录凭证,然后用来实施密码喷洒和凭证填充攻击。 为了防止密码喷洒和凭证填充,您应该投资一款暗网监控工具。
暗网监控是一种扫描暗网并监控您的登录凭证等特定个人信息的工具。 当暗网监控工具发现任何被盗信息时,它会提醒您并提示您采取行动,例如在网络犯罪分子利用密码来获得未经授权的访问之前更改密码。
打开登录尝试通知
为了检测未经授权的用户是否试图访问您的帐户,您应该打开帐户登录尝试通知。 每当有人试图登录您的帐户或未知用户最近登录您的帐户时,这些通知都会提醒您。 这将提醒您网络犯罪分子正在使用某种暴力攻击来攻击您,并允许您立即采取行动。
保持对网络威胁的了解
网络犯罪分子使用各种网络攻击来窃取您的登录凭证,并将其用于密码喷洒和凭证填充。 您需要了解网络犯罪分子用来识别并避免它们的不同类型的网络攻击。
网络犯罪分子通常使用网络钓鱼来诱骗用户透漏其登录凭证。 他们会冒充合法公司等熟悉面孔发送带有恶意附件或链接的电子邮件或短信。 用户点击该链接后,要么在他们的设备上安装恶意软件,要么会被带到欺骗网站。 欺骗网站提示用户提供其登录凭证。
使用 Keeper® 保护您的密码
密码喷洒和凭证填充可能对使用弱密码或重复使用密码的用户造成损害。 然而,如果用户使用唯一的强密码保护其在线帐户并启用 MFA,则可以轻松避免它们。 普通用户拥有大约 20 个密码来跟踪。 自己管理每个帐户的唯一强密码非常困难。 为了最好地保护您的帐户,您应该使用密码管理器。
Keeper 密码管理器是零信任和零知识的,确保只有您才能访问您的个人信息。 使用 Keeper,您可以轻松在任何设备中管理密码,并使用 KeeperFill 简化登录。