撞庫攻擊是什麼?與暴力破解相同嗎?
資訊安全 》撞庫攻擊是什麼?與暴力破解相同嗎?網站如何預防撞庫攻擊?|天矽網頁設計
網際網路越來越發達,帳號密碼的使用率大幅提升,不管是網站開發、電子郵件、個人社群平台或購物、金融網站,幾乎都需要帳號密碼才能登入。
根據《Cybernews》報導,曾有將近100億組的使用者帳號、密碼,在犯罪網站(駭客)被非法曝光,是史上規模最龐大的個資外洩事件,駭客運用撞庫攻擊,以相同的帳號密碼在許多不同網站平台嘗試登入。什麼是撞庫攻擊?與暴力破解相同嗎?網站開發又該如何預防撞庫攻擊呢?
參考資料:史上最大個資外洩案!近100億組密碼遭駭客公開
撞庫攻擊是什麼?
撞庫攻擊,也可以稱為「憑證填充攻擊」,全名Crednetial Stuffing,主要以破解密碼為目的。駭客運用其中一個網站外洩的帳號、密碼,逐一在許多不同網站平台,以同一組帳密登入,進而將帳號盜用。
▲撞庫攻擊運作流程
撞庫攻擊vs暴力破解?
暴力破解 Brute Force Attack
撞庫攻擊與暴力破解,都是以破解密碼為主要目的,不同的是,暴力破解是”想盡辦法嘗試登入密碼的各種組合”,例如:1234登入不成,就以2431進行登入;再登入不成,就以3124登入,光是1234可能的密碼組合就有24種。因此,密碼複雜度越高,駭客破解時間就會花費越多,也建議應設置” 多次登入錯誤鎖帳號功能”。
▲暴力破解攻擊示意圖
撞庫攻擊 Credential Stuffing
駭客以其中一個網站外洩的帳號、密碼,用相同帳密於不同網站接續登入、破解,進而獲取網站資料。
大多人為方便記憶,不同網站大多會使用同組帳密,駭客只要獲取任一網站之帳密資訊,就有機會成功登入其它網站。如果是購物型網站,甚至會盜刷信用卡;金融網站(銀行或支付平台),也是撞庫攻擊重點目標,只要成功登入,就可從事導致金錢損失的行為。
▲撞庫攻擊破解示意圖
如何預防撞庫攻擊、暴力破解?
駭客總是想盡各種方式嘗試登入各個不同網站,面對日益普及的資安事件,企業或使用者該如何預防?以下提供幾點預防措施,防患于未然!大家平常可檢視帳戶密碼是否有符合以下規範,降低網站被駭客攻擊的機會。
(1)不同網站,使用不同的密碼
定期修改密碼,為每個網站設置獨特密碼(不要都使用相同密碼),並使用”強密碼”,含數字、英文大小寫、特殊符號、長度8~20碼,可防止密碼被駭客暴力破解。
(2)使用雙重、多重驗證
帳戶啟用雙重或多重驗證,這能防止就算駭客真的得知了密碼,駭客也不能直接登入,需透過其它驗證方式確認是否為使用者本人。
(3)第三方密碼管理工具
使用安全、可信任的第三方管理密碼工具,讓每個帳戶都有專屬、安全的密碼。
