数据泄露及其对组织的直接影响已广为人知。但是在泄露之后会发生什么，尤其是在用户名和密码等凭证被泄露的情况下？泄露的凭据通常在黑市上出售或被攻击者利用来攻击同一组织或其他组织。当这些被盗的凭据在不同的网站上重复使用时，这被称为凭据填充。凭据填充攻击是当今普遍存在的基于机器人的威胁，但可以通过正确的措施和安全控制加以预防。本文深入探讨撞库以及阻止和减轻这些攻击的方法。

凭据填充是一种网络攻击，其中攻击者利用自动化工具/僵尸网络注入预先收集的凭据（在违规中被盗或从暗网购买）以获取对同一组织或其他组织的用户帐户的访问权限。

凭据填充很容易执行，而且往往具有很高的成功率。许多用户倾向于在多个平台上使用相同的登录凭据。因此，如果攻击者破解了其中一个帐户的用户名密码，他们就可以危及其他帐户。

凭据填充攻击如此容易执行的另一个原因是大量受损凭据随时可用。虽然攻击者可以购买它们，但违规凭据也可以在暗网上以明文形式公开获得。

攻击者将被盗/购买的凭据列表添加到僵尸网络/自动化工具中。僵尸网络/自动化工具会在使用不同的IP地址时自动在各个网站上同时尝试凭证对。

僵尸网络/自动化工具可识别出一组受感染凭据所在的网站。自动化减少了攻击者重复登录单个服务的需要。攻击者监视成功的登录并从事恶意活动，例如

尽管有相似之处，但凭证填充与暴力攻击不同。主要区别在于攻击者试图在没有任何上下文或先前违规数据的情况下猜测凭据。攻击者可能会更改字符、数字等，或使用随机字符串、可猜测的密码等来破解凭据。

最好的撞库防御措施之一是多因素身份验证。MFA要求用户执行额外的身份验证步骤，以证明他们是合法实体，而不是试图访问该帐户的机器人或攻击者。要求用户输入发送到预注册电话号码的OTP是对用户进行身份验证的最佳方法之一。

实施强密码和身份验证策略?

最简单的凭据填充预防措施是严格实施强密码策略。

例如，BFSI组织通常允许最多3-5次失败的登录请求，然后无一例外地冻结用户帐户。因此，用户必须去分行重新激活帐户。在其他领域，即使无法冻结账户，您也可以设置登录失败的时间范围，并提示用户重设密码。

验证码是降低撞库攻击有效性的好方法。它必须与其他方法结合使用，并巧妙地用于挑战流量，因为它可能会破坏业务。

还可以通过使用设备指纹识别来防止凭据填充。通过从用户设备收集的语言、操作系统、浏览器、时区等信息为每个会话创建指纹。如果连续多次使用相同的参数组合登录，则很可能是一次攻击。然后可以对指纹进行IP封禁、临时封禁等。

如果您投资于全面、智能、托管的机器人程序管理和安全解决方案（如AppTrana?），则可以毫不费力地阻止和缓解凭据填充这种基于机器人程序的攻击。