跳转到内容

撞库

维基百科,自由的百科全书

撞库又稱凭据填充,是指黑客收集大量網絡上已經洩露的某網站的用户名密码,然后使用這些用戶名和密碼去登陸另一個網站。黑客有可能通過已洩露的用戶名和密碼成功登陸其他網站或系統,是因为许多用户在多个不同的网站上使用相同的用户名和密码。一项调查报告显示,81%的用户在两个或更多网站上重复使用过密码,而25%的用户在大多数账户上使用相同的密码。[1]如果這些系統涉及金融賬戶,那麼賬戶裡面的錢有被盜竊的風險。有些黑客還會出售能登陸多個網站的賬戶和密碼。[2][3]

连线杂志建議個人在開設多個帐户時應使用不同密码,例如每個賬戶的密碼是由密码管理器自动生成;或者用戶启用双因素身份验证;網站公司也應做好撞库检测和攻擊預防。 [4]

参考文献

[编辑]
  1. ^ Wake-Up Call on Users' Poor Password Habits (PDF). SecureAuth. SecureAuth. July 2017 [2018-07-11]. (原始内容 (PDF)存档于2018-08-12) (英语). 
  2. ^ 互联网金融反欺诈的艺术. 东北财经大学. 2018: 65. ISBN 9787565433344. 
  3. ^ Credential Stuffing. OWASP. (原始内容存档于2019-12-27). 
  4. ^ What Is Credential Stuffing?. Wired. [2021-04-11]. ISSN 1059-1028. (原始内容存档于2023-03-06) (美国英语).