撞庫

撞庫又稱憑據填充，是指黑客收集大量網絡上已經洩露的某網站的用戶名和密碼，然後使用這些用戶名和密碼去登陸另一個網站。黑客有可能通過已洩露的用戶名和密碼成功登陸其他網站或系統，是因為許多用戶在多個不同的網站上使用相同的用戶名和密碼。一項調查報告顯示，81%的用戶在兩個或更多網站上重複使用過密碼，而25%的用戶在大多數賬戶上使用相同的密碼。^[1]如果這些系統涉及金融賬戶，那麼賬戶裏面的錢有被盜竊的風險。有些黑客還會出售能登陸多個網站的賬戶和密碼。^[2]^[3]

連線雜誌建議個人在開設多個帳戶時應使用不同密碼，例如每個賬戶的密碼是由密碼管理器自動生成；或者用戶啟用雙因素身份驗證；網站公司也應做好撞庫檢測和攻擊預防。 ^[4]

參考文獻[編輯]

^ Wake-Up Call on Users' Poor Password Habits (PDF). SecureAuth. SecureAuth. July 2017 [2018-07-11]. （原始內容 (PDF)存檔於2018-08-12）（英語）.
^ 互联网金融反欺诈的艺术. 東北財經大學. 2018: 65. ISBN 9787565433344.
^ Credential Stuffing. OWASP. （原始內容存檔於2019-12-27）.
^ What Is Credential Stuffing?. Wired. [2021-04-11]. ISSN 1059-1028. （原始內容存檔於2023-03-06）（美國英語）.

[1] Wake-Up Call on Users' Poor Password Habits (PDF). SecureAuth. SecureAuth. July 2017 [2018-07-11]. （原始內容 (PDF)存檔於2018-08-12）（英語）.

[2] 互联网金融反欺诈的艺术. 東北財經大學. 2018: 65. ISBN 9787565433344.

[3] Credential Stuffing. OWASP. （原始內容存檔於2019-12-27）.

[4] What Is Credential Stuffing?. Wired. [2021-04-11]. ISSN 1059-1028. （原始內容存檔於2023-03-06）（美國英語）.

[1]

[2]

[3]

[4]