大家好,今天跟大家談談憑證填充 (Credential Stuffing) 攻擊。
那什麼是憑證填充攻擊呢?
憑證填充攻擊是一項利用殭屍網路(botnet)以自動化方式不斷使用偷來的登入憑證試圖登入網路服務的一種攻擊技巧。這項手法使用大量外流的電子郵件地址和密碼,再搭配自動化腳本,以疲勞轟炸的方式不斷試圖登入網路服務,直到某一組帳號密碼成功為止。此攻擊技巧很可能讓企業因為詐騙、網路斷線導致業務停擺、緊急應變與通知客戶、系統修復以及商譽受損等等而造成損失。
以下是一些強化安全來防範這類攻擊的建議方法:
1.養成良好的密碼習慣。避免在不同的網路帳號上使用相同的電子郵件與密碼組合,此外也要經常更換密碼。
-> 可以使用特殊字元@!、: ...等等,增加破解難度,或是中文輸入法密碼(邦幫忙 轉換成鍵盤密碼為 1;1;a;6 )
2.盡可能啟用雙重認證 (2FA),畢竟,多一層保護總是多一分安全保障。
像是一次性密碼(one time password) 的文字簡訊認證,或是gmail的登入提醒通知...等等。
3.定期下載廠商提供的更新。
4.觀察您的網路流量和系統。如果網路查詢、登入數量突然暴增,或者速度突然變慢,都有可能是遭到攻擊的跡象。採用一套資安軟體來掃瞄並清除惡意程式感染。
參考來源:https://blog.trendmicro.com.tw/?cat=4038
我覺得除了上面的方法外,可以在登入後系統後,有個功能讓使用者查詢最近登入的時間跟IP地點,讓使用者了解最近的登入狀況,再來也可以放上 全自動區分電腦和人類的公開圖靈測試(英語:Completely Automated Public Turing test to tell Computers and Humans Apart,簡稱CAPTCHA),俗稱驗證碼的機制,以及其他的驗證方式,像是google的圖片驗證 以及 數學驗證( 1 + 3 = ? ) ...等等。
因為這個攻擊主要是暴力破解,所以要想辦法增加破解的困難度,讓駭客增加破解的時間成本,達到帳號的防護。