Cloudflare：什么是憑證填充？

憑證填充是一種網(wǎng)絡(luò)攻擊，利用從一項(xiàng)服務(wù)上的數(shù)據(jù)泄露中獲得的登錄憑據(jù)嘗試登錄到另一個(gè)不相關(guān)的服務(wù)。

例如，攻擊者可能通過(guò)攻破一個(gè)大型百貨商店而獲取大量用戶名和對(duì)應(yīng)密碼，并使用相同的登錄憑據(jù)嘗試登錄到某個(gè)國(guó)際銀行的網(wǎng)站。攻擊者猜測(cè)這些百貨商店客戶中的某些人在該銀行也有帳戶，并且他們使用了和百貨商店同樣的用戶名和密碼。

截至2019年，由于在黑市上交易和出售了大量受損的登錄憑證，憑證填充攻擊數(shù)量一直在增加。這些列表的激增，再加上使用機(jī)器人來(lái)繞過(guò)傳統(tǒng)登錄保護(hù)的憑證填充工具的發(fā)展，使憑證填充成為一種流行的攻擊手段。

什么促使憑證填充變得有效？

統(tǒng)計(jì)學(xué)上講，憑證填充攻擊的成功率非常低。許多估計(jì)其成功比率約為0.1％，這意味著攻擊者嘗試破解的每千個(gè)帳戶中，它們大約成功一次。盡管成功率很低，但憑證數(shù)據(jù)集合的交易體量之大讓攻擊者覺(jué)得憑證填充盡管成功率很低，也依然值得嘗試。

這些集合內(nèi)含成千上萬(wàn)甚至數(shù)以億計(jì)的登錄憑證。如果攻擊者持有一百萬(wàn)組憑證，則能夠獲取約 1,000 個(gè)成功破解的帳戶。即使只有一小部分破解帳戶帶來(lái)可盈利的數(shù)據(jù)（通常形式是信用卡卡號(hào)或是釣魚(yú)攻擊中所使用的敏感數(shù)據(jù)），也值得發(fā)動(dòng)這種攻擊。除此之外，攻擊者能夠?qū)Ω鞣N不同的服務(wù)使用相同的憑證組合，進(jìn)而反復(fù)進(jìn)行這一過(guò)程。

機(jī)器人技術(shù)的進(jìn)步也使得憑證填充成為一種可行性攻擊。Web 應(yīng)用程序登錄表單內(nèi)置的安全功能往往包括蓄意時(shí)延機(jī)制，并且在用戶多次嘗試登錄失敗時(shí)會(huì)將其 IP 地址禁用?，F(xiàn)代憑證填充軟件會(huì)利用機(jī)器人同時(shí)嘗試多方登錄，而表面看起來(lái)登錄是在各種設(shè)備類型上進(jìn)行，且來(lái)自多個(gè) IP 地址，借此繞開(kāi)這些保護(hù)機(jī)制。惡意機(jī)器人的目的在于讓攻擊者的登錄嘗試有別于典型的登錄流量，且這種方法十分奏效。

通常，唯一能讓受害公司察覺(jué)到遭受攻擊的跡象是登錄嘗試總體數(shù)量的增加。即使這樣，受害的公司也很難在不影響合法用戶登錄服務(wù)的情況下阻止這些惡意嘗試。

憑證填充攻擊有效的主要原因是人們重復(fù)使用密碼。研究表明，大多數(shù)用戶（據(jù)估計(jì)高達(dá)85％）將相同的登錄憑據(jù)重復(fù)用于多種服務(wù)。只要這種做法繼續(xù)下去，憑證填充將保持有效。

憑證填充和蠻力攻擊有什么區(qū)別？

OWASP 將憑證填充歸類為蠻力攻擊的子集。但嚴(yán)格來(lái)講，憑證填充與傳統(tǒng)的暴力攻擊有很大不同。暴力攻擊嘗試在情境背景或線索的情況下猜測(cè)密碼，有時(shí)按照常規(guī)密碼設(shè)置建議隨機(jī)套用字符。憑證填充利用的是泄露數(shù)據(jù)，可能正確的答案在數(shù)量上得到了精簡(jiǎn)。

防止暴力攻擊的有效方法是使用由多個(gè)字符組成的強(qiáng)密碼，包括大寫(xiě)字母、數(shù)字和特殊字符。但是密碼強(qiáng)度不能防止憑證填充。密碼的強(qiáng)弱無(wú)關(guān)緊要–如果密碼在不同的帳戶之間共享，那它依然會(huì)受損于憑證填充。

如何防止憑證填充

用戶如何防止憑證填充

從用戶的角度來(lái)看，防御憑證填充非常簡(jiǎn)單。用戶應(yīng)始終為每個(gè)不同的服務(wù)使用獨(dú)特的密碼（一種簡(jiǎn)單的方法是使用密碼管理器）。如果用戶始終使用獨(dú)特密碼，則憑證填充將無(wú)法起作用。作為一種額外的安全性措施，建議用戶始終啟用雙因素身份驗(yàn)證。

公司如何防止憑證填充

對(duì)于運(yùn)行身份驗(yàn)證服務(wù)的公司，阻止憑證填充是一個(gè)更為復(fù)雜的挑戰(zhàn)。憑證填充是由于其他公司的數(shù)據(jù)泄露導(dǎo)致的。因此一家公司受到憑證填充攻擊，不一定表示它自身的安全已受損。

公司可以建議其用戶使用獨(dú)特的密碼，但通常不能有效地強(qiáng)制執(zhí)行此操作。某些應(yīng)用程序?qū)μ峤坏拿艽a在已知的受損密碼數(shù)據(jù)庫(kù)里進(jìn)行比對(duì)，作為防護(hù)憑證填充的方法，但這并不是萬(wàn)無(wú)一失的–用戶可能會(huì)在尚未受損的服務(wù)中重復(fù)使用密碼。

提供附加的登錄安全功能可以幫助減輕憑證填充。啟用雙因素身份驗(yàn)證等功能，并要求用戶在登錄時(shí)都填寫(xiě)驗(yàn)證碼，這也有助于阻止惡意機(jī)器人。雖然這兩個(gè)都是給用戶帶來(lái)不便的功能，但許多人都認(rèn)為能將安全威脅降至最低，這點(diǎn)不便也就值得了。

防范憑證填充的最強(qiáng)保護(hù)機(jī)制是機(jī)器人管理服務(wù)。機(jī)器人管理機(jī)制采用速率限制和 IP 信譽(yù)數(shù)據(jù)庫(kù)相結(jié)合的方式，在不影響合法登錄的情況下，阻止惡意機(jī)器人嘗試登錄。Cloudflare 機(jī)器人管理每天從通過(guò) Cloudflare 網(wǎng)絡(luò)路由的 4,250 億個(gè)請(qǐng)求中收集數(shù)據(jù)，能夠高度準(zhǔn)確地識(shí)別和阻止憑證填充機(jī)器人。