對于網絡犯罪分子而言，自動使用泄露的用戶名和密碼來訪問賬戶無疑是一種低風險、高回報的攻擊方式。本文將為大家介紹一些預防、檢測和防御此類攻擊的方法。

　　什么是憑證填充（Credential stuffing）？

　　憑證填充是一種網絡攻擊，也是我們習慣稱的“撞庫”，利用從一項服務上的數據泄露中獲得的登錄憑據嘗試登錄到另一個不相關的服務。

　　例如，攻擊者可能通過攻破一個大型百貨商店而獲取大量用戶名和對應密碼，并使用相同的登錄憑據嘗試登錄到某個國際銀行的網站。攻擊者猜測這些百貨商店客戶中的某些人在該銀行也有帳戶，并且他們使用了和百貨商店同樣的用戶名和密碼。

　　很多人可能習慣將其與“蠻力攻擊”相提并論，但它們之間存在明顯區別。

　　OWASP 將憑證填充歸類為蠻力攻擊的子集。但嚴格來講，憑證填充與傳統的暴力攻擊有很大不同。暴力攻擊嘗試在情境背景或線索的情況下猜測密碼，有時按照常規密碼設置建議隨機套用字符。憑證填充利用的是泄露數據，可能正確的答案在數量上得到了精簡。

　　防止暴力攻擊的有效方法是使用由多個字符組成的強密碼，包括大寫字母、數字和特殊字符。但是密碼強度不能防止憑證填充。密碼的強弱無關緊要–如果密碼在不同的帳戶之間共享，那它依然會受損于憑證填充。

　　數據說話：憑證填充攻擊現狀

　　HaveIBeenPwned.com（HIBP）——由安全研究員Troy Hunt運營的免費數據泄露通知服務——跟蹤了來自410起數據泄露事件的超過85 億份泄露憑證。這還只是來自公開數據集或在地下論壇上廣泛分發的數據集中的憑據，還有許多數據轉儲仍然是私有的，僅供一小部分黑客使用，所以，泄露憑證的規模可想而知。

　　鑒于地下黑市正在銷售支持自動憑證填充攻擊的被盜憑證和專用工具，這就意味著發動此類攻擊不需要任何特殊技能或知識，任何能拿出幾百美元購買工具和數據的人都可以實施憑證填充攻擊。

　　2020年，安全和內容交付公司Akamai在其發布的《互聯網現狀報告》中指出，僅失敗的憑證攻擊嘗試就高達1930億次，相比2019年的470億次，使用憑證的登錄攻擊嘗試數量猛增了310%+。而且，有些行業比其他行業更容易成為攻擊目標——例如，僅金融服務行業就經歷了 34.5 億次憑證填充攻擊。

　　Akamai于2021年5月發布的最新報告指出，憑證填充攻擊數量出現了幾次高峰，其中包括2020年末的一天，發生了超過10億次攻擊。研究人員認為，這些攻擊應該與犯罪經濟中發生的事件存在關聯。

　　報告稱，2020年末出現的憑證填充攻擊高峰與2020年第一季度和第二季度的幾起重大數據泄露事件有關，一開始在幾個地下論壇的犯罪分子中流傳。一旦這些被泄露的憑證開始傳播開，惡意行為者就會用其針對各種目標進行攻擊測試，其中影響最深的就是金融機構。

　　憑證填充攻擊“加速器”

　　統計學上講，憑證填充攻擊的成功率非常低，但憑證數據集合的交易體量之大讓攻擊者覺得即便成功率低也依然值得嘗試。

　　這些集合內含成千上萬甚至數以億計的登錄憑證。以0.1%的成功率來算，如果攻擊者持有一百萬組憑證，則能夠獲取約 1,000 個成功破解的帳戶。即使只有一小部分破解帳戶帶來可盈利的數據（通常形式是信用卡卡號或是釣魚攻擊中所使用的敏感數據），也值得發動這種攻擊。

　　而且，得益于人們習慣重復使用密碼，憑證填充攻擊成功率也有了一定增長。數據指出，高達約85％的用戶將相同的登錄憑據重復用于多種服務。只要這種做法繼續下去，憑證填充將繼續保持有效。

　　此外，地下市場中出售的可用于發送憑證填充攻擊的被盜憑證和工具，也進一步加劇了此類攻擊，因為即便是沒有任何技能和專業知識儲備的人，也能通過幾百美元購買到合適的工具和數據，成功發動攻擊。

　　機器人技術的進步也使得憑證填充成為一種可行性攻擊。Web 應用程序登錄表單內置的安全功能往往包括蓄意時延機制，并且在用戶多次嘗試登錄失敗時會將其IP地址禁用。現代憑證填充軟件會利用機器人同時嘗試多方登錄，而表面看起來登錄是在各種設備類型上進行，且來自多個IP地址，借此繞開這些保護機制。惡意機器人的目的在于讓攻擊者的登錄嘗試有別于典型的登錄流量，且這種方法十分奏效。

　　通常，唯一能讓受害公司察覺到遭受攻擊的跡象是登錄嘗試總體數量的增加。即使這樣，受害的公司也很難在不影響合法用戶登錄服務的情況下阻止這些惡意嘗試。

　　憑證填充帶來的合規風險

　　自歐盟《通用數據保護法案》GDPR生效以來，世界各國監管機構對于數據保護都表現的極為重視，甚至出現了多起巨額罰款事件。

　　GDPR提出，個人數據泄露是指“由于違反安全政策而導致傳輸、儲存、處理中的個人數據被意外或非法損毀、丟失、更改或未經同意而被公開或訪問。”所以，即使是使用已泄露數據進行憑證填充攻擊，但是企業自身的安全防護工作沒有能夠避免被未經授權的訪問，也屬于違規的一種。

　　同時，美國《健康保險攜帶和責任法案》（HIPAA）也規定“以HIPAA隱私規則所不允許的方式獲取、訪問、使用或披露個人醫療信息，等于損害安全性或隱私。”即使被非法訪問的數據是被加密的，但是系統和數據受到了未經授權的攻擊，也屬于HIPAA隱私權規則所不允許的披露。

　　2018年，信用評級公司穆迪（Moody's）將“網絡安全風險”納入現有信用評級標準，受評者承受網絡攻擊的能力將被量化，融入最終的評級結果中。信用評級廣泛影響到投資者在選擇投資對象時所考慮的風險評估以及投資決定。對上市企業來說，重新考慮其網絡安全和合規性方法，尤其是隨著法規變得越來越難以遵守。不僅如此，針對特定的行業，也將面對更多不同的處罰規定。

　　如何檢測憑證填充？

　　憑證填充攻擊是通過僵尸網絡和自動化工具發起的，這些工具支持使用代理將惡意請求分發到不同的 IP 地址。此外，攻擊者經常配置他們的工具來模仿合法的用戶代理。

　　所有這些使得防御者很難區分憑證填充攻擊和合法登錄嘗試，尤其是在高流量網站上，突然涌入的登錄請求并不罕見。也就是說，短時間內登錄失敗率的增加可能是憑證填充攻擊正在進行的明顯跡象。

　　與此同時，一些商業Web應用程序防火墻和服務使用更先進的行為技術來檢測可疑的登錄嘗試，網站所有者可以采取措施防止此類攻擊。

　　如何防止和緩解憑證填充？

　　一種有效的緩解措施是實施和鼓勵使用多因素身份驗證（MFA）。盡管一些自動網絡釣魚和帳戶接管工具可以繞過 MFA，但這些攻擊需要更多資源，而且比憑證填充更難集體實施。

　　由于多因素身份驗證在一定程度上會影響用戶體驗，所以許多組織只是建議用戶啟用而不強制執行。如果覺得對所有用戶賬號強制執行多因素身份驗證太過影響業務，折衷方案是為確定面臨更大風險的用戶自動啟用它，例如，在他們的賬戶遭遇大量異常的登錄嘗試失敗后。

　　很多大型企業已經開始主動監控公共數據轉儲，并檢查受影響的電子郵件地址是否也存在于他們的系統中。對于在他們的服務中找到的此類帳戶，即便其是在其他地方遭到的入侵，他們也會強制重置密碼并強烈建議啟用多因素身份驗證。

　　想要監控員工使用工作電子郵件設置的帳戶是否受到外部漏洞影響的公司，可以使用 HIBP 等服務為其整個域名設置警報。HIBP的公共API甚至被用于開發各種編程語言的腳本，這些腳本可以集成到網站或移動應用程序中。

　　最后，密碼衛生應該成為任何公司員工安全意識培訓的一部分。密碼重用是導致憑證填充攻擊的重要原因，因此無論是在工作中還是在家里，都應強烈反對這種做法。

　　用戶可以使用密碼管理器為每個在線帳戶生成唯一且復雜的密碼。如果在公共數據轉儲中檢測到用戶的電子郵件地址，其中一些應用程序甚至會自動通知用戶。

　　總結

　　憑證填充會始終存在。由于無法完全消除這種行為，因此企業組織和用戶能做的就是增加憑證填充攻擊的困難性。弱密碼和密碼重用是賬戶安全的禍根；無論我們談論的是游戲、零售、媒體和娛樂或是其他任何行業，這一點都至關重要。如果密碼太弱或在多個賬戶中重復使用相同的密碼，它終有一天會被泄露。人們需要提高對這些事實的認識，推廣密碼管理器和多因素身份驗證亦是如此。