Thông tin đăng nhập là gì?
Nhồi thông tin xác thực là một cuộc tấn công mạng trong đó thông tin đăng nhập thu được từ một vụ vi phạm dữ liệu trên một dịch vụ được sử dụng để cố gắng đăng nhập vào một dịch vụ không liên quan khác.
Ví dụ: kẻ tấn công có thể lấy danh sách tên người dùng và mật khẩu thu được từ việc xâm phạm một cửa hàng bách hóa lớn và sử dụng cùng thông tin đăng nhập để cố gắng đăng nhập vào trang web của một ngân hàng quốc tế. gia đình. Kẻ tấn công hy vọng rằng một phần nhỏ khách hàng của cửa hàng bách hóa đó cũng có tài khoản tại ngân hàng và họ sử dụng lại tên người dùng và mật khẩu giống nhau cho cả hai dịch vụ.
Bạn đang xem bài viết: Credential stuffing là gì? Sự khác biệt giữa nhồi thông tin xác thực và Brute Force là gì?
Các cuộc tấn công nhồi nhét thông tin xác thực rất phổ biến nhờ vào danh sách khổng lồ các thông tin đăng nhập bị vi phạm đang được giao dịch và bán trên thị trường chợ đen. Sự phổ biến của các danh sách này, kết hợp với những tiến bộ trong công nghệ nhồi Thông tin xác thực có nghĩa là sử dụng bot để vượt qua các giải pháp bảo vệ đăng nhập truyền thống, đã khiến việc nhồi Thông tin xác thực trở thành một vectơ tấn công phổ biến.
Tấn công nhồi thông tin xác thực
Điều gì làm cho cuộc tấn công nhồi nhét thông tin xác thực trở nên hiệu quả?
Theo thống kê, các cuộc tấn công nhồi thông tin xác thực có tỷ lệ thành công rất thấp. Nhiều ước tính đưa ra tỷ lệ này chỉ khoảng 0,1%, có nghĩa là cứ một nghìn tài khoản mà kẻ tấn công cố gắng bẻ khóa thì gần như chúng thành công một lần. Khối lượng lớn các bộ sưu tập thông tin xác thực đang được giao dịch bởi những kẻ tấn công khiến việc thực hiện một cuộc tấn công nhồi thông tin xác thực trở nên đáng giá, mặc dù tỷ lệ thành công thấp.
những bộ sưu tập này chứa hàng triệu và trong một số trường hợp là hàng tỷ lượt đăng nhập. Nếu kẻ tấn công có một triệu bộ thông tin đăng nhập, điều này có thể mang lại khoảng 1.000 tài khoản bị bẻ khóa thành công. Nếu ngay cả một tỷ lệ nhỏ tài khoản bị bẻ khóa mang lại dữ liệu có lợi (thường ở dạng số thẻ tín dụng hoặc dữ liệu nhạy cảm có thể được sử dụng trong các cuộc tấn công lừa đảo), thì cuộc tấn công đó là xứng đáng. Ngoài ra, kẻ tấn công có thể lặp lại các bước bằng cách sử dụng cùng một bộ thông tin đăng nhập trên các dịch vụ khác nhau.
Những tiến bộ trong công nghệ bot cũng làm cho thông tin xác thực trở thành một cuộc tấn công khả thi. Các tính năng bảo mật được tích hợp trong các biểu mẫu đăng nhập ứng dụng web thường bao gồm trì hoãn thời gian có chủ ý và chặn địa chỉ IP của những người dùng sử dụng nhiều lần đăng nhập thất bại. Phần mềm nhồi Thông tin xác thực hiện đại phá vỡ các biện pháp bảo vệ này bằng cách sử dụng bot để thử đồng thời một số thông tin đăng nhập có vẻ như đến từ các loại thiết bị khác nhau và bắt nguồn từ các địa chỉ IP khác nhau. cùng nhau. Mục tiêu của bot độc hại là làm cho nỗ lực đăng nhập của kẻ tấn công không thể phân biệt được với lưu lượng truy cập đăng nhập thông thường và nó rất hiệu quả.
Thông thường, tín hiệu duy nhất giúp doanh nghiệp nhận ra rằng họ đang bị tấn công là sự gia tăng tổng số lần đăng nhập. Ngay cả khi đó, doanh nghiệp được nhắm mục tiêu sẽ gặp khó khăn khi dừng những nỗ lực này mà không ảnh hưởng đến khả năng đăng nhập vào dịch vụ của người dùng hợp pháp.
Lý do chính khiến các cuộc tấn công nhồi thông tin xác thực hoạt động là do mọi người thường sử dụng lại mật khẩu. Các nghiên cứu cho thấy rằng phần lớn người dùng, theo một số ước tính lên đến 85%, sử dụng lại cùng một thông tin đăng nhập cho nhiều dịch vụ. Chừng nào quy trình này còn tiếp tục, tính năng nhồi thông tin xác thực sẽ vẫn hoạt động.
Sự khác biệt giữa nhồi thông tin xác thực và Brute Force là gì?
OWASP phân loại nhồi Thông tin xác thực là một tập hợp con của các cuộc tấn công Brute Force. Tuy nhiên, nói đúng ra, Credential stuffing rất khác so với các cuộc tấn công Brute Force truyền thống. Các cuộc tấn công Brute Force cố gắng đoán mật khẩu mà không có ngữ cảnh hoặc manh mối, đôi khi sử dụng các ký tự ngẫu nhiên kết hợp với các gợi ý mật khẩu phổ biến. Mặt khác, nhồi thông tin xác thực sử dụng dữ liệu bị lộ, làm giảm đáng kể số lượng câu trả lời đúng có thể có.
Một biện pháp bảo vệ tốt trước các cuộc tấn công Brute Force là một mật khẩu mạnh bao gồm nhiều ký tự và bao gồm cả chữ hoa, số và ký tự đặc biệt. Nhưng độ mạnh của mật khẩu không bảo vệ người dùng khỏi các cuộc tấn công nhồi thông tin xác thực. Mật khẩu mạnh đến đâu không quan trọng. Nếu mật khẩu được chia sẻ trên các tài khoản khác nhau, việc nhồi thông tin xác thực vẫn có thể gây hại.
Cách ngăn chặn thông tin xác thực
Cần giải pháp chống nhồi nhét Credential
Cách người dùng có thể ngăn chặn thông tin xác thực
Theo ý kiến của người dùng, việc bảo vệ chống lại thông tin đăng nhập tương đối đơn giản. Người dùng phải luôn sử dụng mật khẩu duy nhất cho các dịch vụ khác nhau (một cách dễ dàng để đạt được điều này là sử dụng trình quản lý mật khẩu). Nếu người dùng luôn sử dụng một mật khẩu duy nhất, tính năng nhồi Thông tin xác thực sẽ không hoạt động với tài khoản của họ. Là một biện pháp bảo mật bổ sung, người dùng được khuyến khích luôn bật xác thực hai yếu tố khi khả dụng.
Làm thế nào các doanh nghiệp có thể ngăn chặn thông tin xác thực
Ngăn chặn thông tin xác thực là một thách thức phức tạp hơn đối với các doanh nghiệp chạy dịch vụ xác thực. Nhồi thông tin xác thực xảy ra do vi phạm dữ liệu trong các doanh nghiệp khác. Doanh nghiệp bị tấn công nhồi thông tin xác thực nhắm mục tiêu không nhất thiết phải vi phạm bảo mật.
Một doanh nghiệp có thể yêu cầu người dùng của mình phân phối mật khẩu duy nhất nhưng không thể thực thi điều này một cách hiệu quả như một quy tắc.
Một số ứng dụng sẽ chạy mật khẩu đã gửi đối với cơ sở dữ liệu gồm các mật khẩu đã bị xâm phạm, trước khi chấp nhận mật khẩu như một biện pháp đối phó với việc nhồi Thông tin xác thực, nhưng điều này không an toàn – người dùng có thể đang sử dụng lại mật khẩu từ một dịch vụ chưa bị xâm phạm.
Cung cấp các tính năng bảo mật đăng nhập bổ sung có thể giúp hạn chế việc nhồi Thông tin xác thực. Kích hoạt các tính năng như xác thực hai yếu tố và yêu cầu người dùng nhập hình ảnh xác thực khi đăng nhập cũng sẽ giúp ngăn chặn các bot độc hại. Mặc dù cả hai tính năng này đều gây bất tiện cho người dùng, nhưng nhiều người sẽ đồng ý rằng việc hạn chế các mối đe dọa bảo mật là đáng để đánh đổi.
Biện pháp phòng thủ mạnh nhất chống lại việc nhồi Thông tin xác thực là dịch vụ quản lý bot. Quản lý bot sử dụng giới hạn tốc độ kết hợp với cơ sở dữ liệu IP để ngăn các bot độc hại thực hiện các nỗ lực đăng nhập mà không ảnh hưởng đến thông tin đăng nhập hợp pháp.
Bản quyền bài viết này thuộc về Trường Cao đẳng Tài nguyên và Môi trường Miền Trung. Mọi sao chép đều là gian lận!
Nguồn chia sẻ: https://gioitre.biz
https://gioitre.biz/credential-stuffing-la-gi-credential-stuffing-khac-gi-brute-force/
Bạn thấy bài viết Credential stuffing là gì? Credential stuffing khác gì Brute Force? có khắc phục đươc vấn đề bạn tìm hiểu ko?, nếu ko hãy comment góp ý thêm về Credential stuffing là gì? Credential stuffing khác gì Brute Force? bên dưới để Blog Giới Trẻ có thể thay đổi & cải thiện nội dung tốt hơn cho các bạn nhé! Cám ơn bạn đã ghé thăm Website: gioitre.biz của Blog Giới Trẻ
Nhớ để nguồn bài viết này: Credential stuffing là gì? Credential stuffing khác gì Brute Force? của website gioitre.biz
Chuyên mục: Văn Học
