撞库
外观
撞库又稱凭据填充,是指黑客收集大量網絡上已經洩露的某網站的用户名和密码,然后使用這些用戶名和密碼去登陸另一個網站。黑客有可能通過已洩露的用戶名和密碼成功登陸其他網站或系統,是因为许多用户在多个不同的网站上使用相同的用户名和密码。一项调查报告显示,81%的用户在两个或更多网站上重复使用过密码,而25%的用户在大多数账户上使用相同的密码。[1]如果這些系統涉及金融賬戶,那麼賬戶裡面的錢有被盜竊的風險。有些黑客還會出售能登陸多個網站的賬戶和密碼。[2][3]
连线杂志建議個人在開設多個帐户時應使用不同密码,例如每個賬戶的密碼是由密码管理器自动生成;或者用戶启用双因素身份验证;網站公司也應做好撞库检测和攻擊預防。 [4]
参考文献
[编辑]- ^ Wake-Up Call on Users' Poor Password Habits (PDF). SecureAuth. SecureAuth. July 2017 [2018-07-11]. (原始内容 (PDF)存档于2018-08-12) (英语).
- ^ 互联网金融反欺诈的艺术. 东北财经大学. 2018: 65. ISBN 9787565433344.
- ^ Credential Stuffing. OWASP. (原始内容存档于2019-12-27).
- ^ What Is Credential Stuffing?. Wired. [2021-04-11]. ISSN 1059-1028. (原始内容存档于2023-03-06) (美国英语).