首页 > 安全 > 正文

什么是凭证馅?如何防止它?

最后更新 :2022.03.29

这篇文章介绍了凭证填充攻击,这是防止它们的对策。

如果您正在寻找,可以将凭证填充尝试作为行为异常捕获。由FBI专门作为一年前的金融服务业的特殊威胁,互联网交通的增加,数据违规和API使用都有助于成功凭证填充攻击的完美条件。以下是您需要了解的是他们如何工作,以及如何保持安全。

什么是凭证填料? “”凭证填料是一种攻击类型,其中黑客使用自动化和受损的用户名和密码列表以打败身份验证和授权机制,随着账户收购的最终目标(ATO)和/或数据exfiltation。“换句话说,坏演员收集了破坏的用户名和密码列表,并将它们与未定的登录运行他们找到了一些工作。然后,他们输入这些账户以滥用权限,虹吸化数据或两者。

为什么现在如此普遍?

现在更容易妥协的凭据列表(许多人在黑客论坛上发布)并运行低层凭证填充攻击,更经济。制作工具,黑客也使用相同的高效资源来自动化和防御,自动化和攻击。这些升级的功能包括脚本和自动化工具,API和流量限制(将蛮力攻击伪装为合法流量)。

此外,大规模推动远程工作,XAAS技术以及急于为方便的应用程序,公司依赖于经常受妥的API。他们不是顾客面对的,而且似乎仍然存在滞后。“看不见了,心不在焉”显然不适用于渴望的Cybercr然而,伊亚胺。而且,围绕着创建用户名和密码的普遍糟糕的卫生,许多人在多个网站上重复使用。这是主要方式,实际上是凭证填充工作的前提。如果没有任何情况,您无法访问具有回收凭据的帐户。

如何凭证填充攻击工作

这里有几个步骤攻击者可以实现一个成功的凭证填充活动:

范围出现目标及其API。Bad Actors将查找托管服务器,域名和漏洞API端点。在过去几年中超过50%的记录来自Apps和API。 收集被盗凭证的数据库。这些盗窃用户名和密码列表用作攻击的弹药。如果它们的集合重复使用批发,这是一个自动的。如果只是一个,蛮力可以更容易地找到另一个。 c重新制作自动化和不可用的工具。自动化的工具或脚本将使被盗的凭证免受接入点的盗版凭证,直到其中一个有效。大多数黑客通过限制每小时的尝试次数来使这看起来像合法的用户活动。 发射攻击。攻击是从云或各种地理域发射的攻击,以逃避检测。 从结果和枢转到ATO。黑客将检查成功代码,并经常代码所有结果都进入其自动化工具,以使未来攻击更有效率。一旦他们获得了可行的登录,就会实现ATO并开始数据妥协。 如何停止凭证填充攻击 以下是用于防止凭证填充攻击的一些主要方法:

多因素认证(MFA)。“凭证填充依赖于无法轻易提供广告的自动化脚本和工具通过替代频道(如电子邮件或短信)发送的身份验证,特别是移动电话认证器令牌或2FA令牌的识别因素。“盐安全在他们如何捍卫凭证填充方面说明。 良好的密码卫生

和密码经理。

“如果密码弱或在多个帐户中重复使用,则最终将受到损害。”内容交付网络Akamai在其互联网报告中结束。运行时行为分析。 确定基线并识别异常行为。除了发出邪恶的活动之外,它还可以保护API对数据擦伤,通常用于凭证填充攻击。辅助方法包括: CAPTCHA。 完成CAPTCHA,为每个访问尝试阻止密码喷雾和邪恶的登录。虽然已经有“CAPTCHA雇用”的情况,但增加了任何额外成本,减少了攻击者的投资回报(和激励)。 Block-listed IPs. Basic attacks can pull from a small pool of IPs, which can be blocked after several failed login attempts. Public IP block lists are also out there, and you can add those to your list.

Fingerprint device. A device fingerprint is matched to your browser, and if the two ever don’t correlate, you’ll be prompted for additional verification. In that event, you should probably also change your password. Provide unpredictable usernames. Instead of allowing email addresses which can be easily found (and guessed), require a distinct and secure username. You can provide a generated (not generic) username to improve user experience.According to OSWAP , a nonprofit dedicated to making software safe, “In isolation none of these [secondary measures] are as effective as MFA, however if multiple defenses are implemented in a layered approach, they can provide a reasonable degree of protection.” It’s impor值得注意的是,为了避免破坏用户体验,可以仅采用次要认证的辅助方法。 主动防御 凭证填充是一个系统问题用简单的解决方案。如果每个人今晚改变了他们的登录,那么这个问题就可以在早上解决。然而,代替,最好的做法可以到位和成功。您的API上的MFA,CAPTCHA和限制可以让黑客劝阻和保护访问。然而,最有效的主动防御是跟踪流量随着时间的推移。即使其他方法未能识别出现的流量和指向尝试攻击,这将识别流量的异常模式。 

一个热情信徒在个人数据隐私和它背后的技术,卡特里娜汤普森是一名自由作家,倾向于加密,数据隐私立法和信息技术的交叉点人权。她为博拉,Venafi,Tripwire和许多其他网站写了一份。

- END -

看更多