Credential stuffing là gì? Credential stuffing khác gì Brute Force?

Rate this post

Thông tin đăng nhập là gì?

Nhồi thông tin xác thực là một cuộc tấn công mạng trong đó thông tin xác thực thu được từ một vụ vi phạm dữ liệu trên một dịch vụ được sử dụng để cố gắng đăng nhập vào một dịch vụ không liên quan khác.

Ví dụ: kẻ tấn công có thể lấy danh sách tên người dùng và mật khẩu có được từ một vụ vi phạm cửa hàng bách hóa và sử dụng cùng thông tin đăng nhập đó để cố gắng đăng nhập vào trang web của ngân hàng quốc gia. . Kẻ tấn công hy vọng rằng một số ít khách hàng của cửa hàng đó cũng có tài khoản với ngân hàng này và họ sử dụng lại cùng một tên người dùng và mật khẩu cho cả hai dịch vụ.

Các cuộc tấn công nhồi nhét thông tin xác thực phổ biến nhờ vào danh sách lớn các thông tin đăng nhập bị xâm phạm được giao dịch và bán trên thị trường chợ đen. Sự phổ biến của các danh sách này, kết hợp với những tiến bộ trong việc nhồi thông tin xác thực sử dụng bot để vượt qua các biện pháp bảo vệ nhận dạng truyền thống, đã khiến việc nhồi thông tin xác thực trở thành một thách thức. vectơ tấn công phổ biến.

Bạn đang xem: Credential stuffing là gì? Sự khác biệt giữa Thông tin xác thực và Brute Force là gì?

Tấn công nhồi thông tin xác thực
Tấn công nhồi thông tin xác thực

Điều gì làm cho các cuộc tấn công nhồi thông tin xác thực hiệu quả?

Theo thống kê, các cuộc tấn công nhồi thông tin xác thực có tỷ lệ thành công rất thấp. Nhiều ước tính đưa ra con số này vào khoảng 0,1%, nghĩa là cứ một nghìn tài khoản mà kẻ tấn công cố gắng hack thì chúng sẽ thành công khoảng một lần. Khối lượng lớn các bộ sưu tập thông tin xác thực mà những kẻ tấn công thu được khiến việc thực hiện một cuộc tấn công nhồi thông tin xác thực trở nên đáng giá, mặc dù tỷ lệ thành công thấp.

READ  Mẫu phiếu tư vấn, giới thiệu việc làm

Những bộ sưu tập này chứa hàng triệu và trong một số trường hợp là hàng tỷ mục nhập. Nếu kẻ tấn công có một triệu bộ thông tin xác thực, điều này có thể dẫn đến khoảng 1.000 tài khoản bị xâm phạm thành công. Nếu ngay cả một tỷ lệ nhỏ tài khoản bị bẻ khóa mang lại dữ liệu hữu ích (thường ở dạng số thẻ tín dụng hoặc dữ liệu nhạy cảm có thể được sử dụng trong các cuộc tấn công lừa đảo), thì cuộc tấn công đó là hợp lệ. Hơn nữa, kẻ tấn công có thể lặp lại quy trình bằng cách sử dụng cùng một bộ thông tin xác thực trên nhiều dịch vụ khác nhau.

Những tiến bộ trong công nghệ bot cũng làm cho việc xác thực trở thành một cuộc tấn công khả thi. Các tính năng bảo mật được tích hợp trong các biểu mẫu đăng nhập ứng dụng web thường bao gồm việc cố ý trì hoãn thời gian và chặn địa chỉ IP của những người dùng đã đăng nhập thất bại nhiều lần. Tính năng nhồi thông tin xác thực hiện đại bỏ qua các biện pháp bảo vệ này bằng cách sử dụng bot để thử đồng thời nhiều lần đăng nhập có vẻ như đến từ các loại thiết bị khác nhau và bắt nguồn từ các địa chỉ IP khác nhau. cùng nhau. Mục đích của bot độc hại là làm cho nỗ lực đăng nhập của kẻ tấn công không thể phân biệt được với lưu lượng đăng nhập thông thường và rất hiệu quả.

Thông thường, dấu hiệu duy nhất giúp một công ty nhận ra rằng họ đang bị tấn công là tổng số lần đăng nhập tăng lên. Ngay cả khi đó, công ty mục tiêu sẽ gặp khó khăn trong việc ngăn chặn những nỗ lực này mà không ảnh hưởng đến khả năng đăng nhập vào dịch vụ của người dùng hợp pháp.

Lý do chính khiến các cuộc tấn công nhồi thông tin xác thực hoạt động là do mọi người sử dụng lại mật khẩu. Các nghiên cứu cho thấy rằng hầu hết người dùng, theo một số ước tính lên đến 85%, sử dụng lại cùng một thông tin đăng nhập cho nhiều dịch vụ. Miễn là quá trình này tiếp tục, việc điền thông tin xác thực sẽ vẫn hoạt động.

READ  Điều kiện và thủ tục vay vốn mua nhà trả góp

Sự khác biệt giữa Thông tin xác thực và Brute Force là gì?

OWASP phân loại nhồi thông tin xác thực là một tập hợp con của các cuộc tấn công Brute Force. Tuy nhiên, nói một cách chính xác, nhồi thông tin xác thực rất khác so với các cuộc tấn công Brute Force truyền thống. Các cuộc tấn công vũ phu cố gắng đoán mật khẩu mà không có ngữ cảnh hoặc dữ liệu, sử dụng các ký tự ngẫu nhiên đôi khi được kết hợp với các gợi ý mật khẩu phổ biến. Mặt khác, nhồi thông tin xác thực sử dụng dữ liệu bị lộ, làm giảm đáng kể số lượng câu trả lời đúng có thể có.

Một biện pháp bảo vệ tốt trước các cuộc tấn công Brute Force là một mật khẩu mạnh bao gồm nhiều ký tự và bao gồm chữ hoa, số và ký tự đặc biệt. Nhưng độ mạnh của mật khẩu không bảo vệ người dùng khỏi các cuộc tấn công nhồi thông tin xác thực. Mật khẩu mạnh đến đâu không quan trọng. Nếu mật khẩu được chia sẻ trên các tài khoản khác nhau, việc nhồi thông tin xác thực vẫn có thể gây hại.

Cách ngăn chặn thông tin xác thực

Cần thực hiện các biện pháp để ngăn chặn việc nhồi nhét thông tin xác thực
Cần thực hiện các biện pháp để ngăn chặn việc nhồi nhét thông tin xác thực

Cách người dùng có thể ngăn thông tin xác thực

Theo quan điểm của người dùng, việc bảo vệ chống lại thông tin đăng nhập khá đơn giản. Người dùng phải luôn sử dụng mật khẩu duy nhất cho các dịch vụ khác nhau (một cách dễ dàng để đạt được điều này là sử dụng trình quản lý mật khẩu). Nếu người dùng luôn sử dụng một mật khẩu duy nhất, tính năng Thông tin xác thực sẽ không hoạt động với tài khoản của họ. Là một biện pháp bảo mật bổ sung, người dùng được khuyến khích luôn bật xác thực hai yếu tố khi khả dụng.

READ  Valorant Challengers Vietnam - Chung kết: Cerberus Esports lên ngôi vô địch giải đấu Valorant chuyên nghiệp đầu tiên tại Việt Nam

Làm thế nào các công ty có thể ngăn chặn thông tin đăng nhập

Khóa thông tin đăng nhập là một thách thức phức tạp hơn đối với các công ty vận hành dịch vụ xác thực. Nhồi thông tin xác thực xảy ra do vi phạm dữ liệu tại các công ty khác. Một công ty bị nhắm mục tiêu bởi một cuộc tấn công nhồi nhét thông tin xác thực không nhất thiết phải làm tổn hại đến bảo mật.

Một công ty có thể yêu cầu người dùng của mình cung cấp một mật khẩu duy nhất, nhưng có thể không thực thi điều này một cách hiệu quả như một quy tắc.

Một số ứng dụng sẽ chạy mật khẩu đã gửi đối với cơ sở dữ liệu mật khẩu bị xâm phạm trước khi chấp nhận mật khẩu như một biện pháp đối phó với việc nhồi thông tin xác thực, nhưng điều này không an toàn. an toàn – người dùng có thể sử dụng lại mật khẩu từ một dịch vụ chưa bị xâm phạm.

Việc cung cấp các tính năng bảo mật đăng nhập bổ sung có thể giúp giảm thiểu việc nhồi nhét thông tin xác thực. Kích hoạt các tính năng như xác thực hai yếu tố và yêu cầu người dùng hoàn thành hình ảnh xác thực khi đăng nhập cũng giúp ngăn chặn các bot độc hại. Mặc dù cả hai tính năng này đều gây bất tiện cho người dùng, nhưng nhiều người sẽ đồng ý rằng việc giảm thiểu mối đe dọa bảo mật là đáng để đánh đổi.

Biện pháp bảo vệ mạnh nhất chống lại việc nhồi nhét thông tin xác thực là dịch vụ quản lý bot. Quản lý bot sử dụng giới hạn tốc độ kết hợp với cơ sở dữ liệu IP để ngăn các bot độc hại thực hiện các nỗ lực đăng nhập mà không ảnh hưởng đến thông tin đăng nhập hợp pháp.

Danh mục: Tổng hợp

Tác giả: – Trường Lê Hồng Phong

Cảm ơn bạn đã đọc bài viết Credential stuffing là gì? Credential stuffing khác gì Brute Force? . Đừng quên truy cập Cakhia TV Trang web xem trực tiếp bóng đá không quảng cáo hot nhất hiện nay

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *