涡轮税的突破。迪斯尼+攻击。戒指家庭摄像机黑客。这些报道已经成为国际头条新闻，但大多数人没有意识到，所有这些孤立的数据泄露都是一个更大趋势的一部分：凭证填充攻击。凭证填充攻击是2020年最普遍的网络安全威胁之一。仅在Auth0的平台上，我们每天收到的所有登录请求中就有近一半是试图填充凭据。而且，随着越来越多的凭证被曝光，问题只会变得更加复杂；目前，几乎有数十亿张被泄露的凭证在黑暗的网络上流传。为了应对这场危机，ecs云服务器，首席执行官们迫切需要对自己进行培训，让他们了解如何填充凭证，以保护用户的数据、内部系统的完整性，以及他们的业务不受监管部门罚款和公共丑闻的影响。什么是凭证填充攻击？假设您将M8gu96mB76设置为您的Netflix密码，然后您重新使用它（即使您更清楚）作为您在Amazon、您的《纽约时报》订阅甚至您的银行帐户的密码。如果黑客闯入这些系统中的任何一个并得到你的密码，他们就可以用它来访问所有其他系统。这是凭证填充，因为如果一个黑客窃取了你的密码到一个网站，他们可以用它来闯入你使用相同密码的所有其他网站。这是一种账户接管的形式，其后果从令人沮丧的不便（如迪斯尼+黑客将用户锁定在其账户之外）到令人不安的邪恶犯罪（比如黑客闯入家庭摄像头监视儿童）。以下是凭证填充攻击通常的工作方式：第一步：黑客可以访问包含用户名和密码的数据库。这种最初的网络攻击可能以多种方式发生，折扣返利，从复杂的黑客攻击到对有数据库访问权限的管理员的网络钓鱼攻击，再到留在公共可访问区域的未受保护的记录。第二步：黑客复制这些信息并出售或发布（通常在黑暗网络上）供其他黑客使用。第三步：网络犯罪分子利用一个网站的用户名和密码试图进入另一个网站。成功率相对较低，因此黑客依赖自动化：僵尸网络尝试数百万个用户名密码组合，直到有人授予他们访问权限。一旦黑客进入受害者的网站，他们可以造成各种形式的恶作剧。以下是三种最常见的：出售对受损账户的访问权：这在流媒体服务中尤其常见。迪斯尼+、Netflix和Spotify都是黑客以低于订阅成本的价格出售用户帐户访问权限的攻击的受害者。电子商务欺诈：黑客可以在零售网站上冒充合法用户，订购高价值产品，供其使用或转售。根据Akamai的研究，大数据的概念，这是一种常见的身份盗用形式（对于犯罪分子来说，这可能是有利可图的），这使得零售业成为最易受攻击的凭证填充垂直线。公司/机构间谍和盗窃：虽然上述罪行对公司及其客户造成严重后果，但第三种形式的攻击有可能对企业造成最严重的破坏。如果攻击者成功地劫持了员工或管理员的帐户，他们就可以访问各种敏感的内部数据，并将这些数据卖给出价最高的人。当然，泄露的数据可以包括用户名和密码的数据库，然后这些数据库可以再次启动整个凭证填充周期。"最近对@Disney+和@ring的黑客攻击源于凭证填充。这些策略有助于保护您和您的业务。"在推特上留言凭证填充的成本凭证填充攻击通常以用户的成本来讨论，但它们也可能对企业造成毁灭性的影响，造成财务、法律和声誉损害。波内蒙研究所（Ponemon Institute）的凭证填充成本报告发现，企业每年平均因凭证填充而损失400万美元。这些损失表现为应用程序停机、客户流失和IT成本增加。大规模的僵尸网络攻击会使企业的IT基础设施不堪重负，在攻击期间，网站的流量是其典型流量的180倍。尽管报告的攻击有所上升，但可以肯定的是，许多企业在其系统遭到破坏、内部数据被盗时不会披露，因此我们可能永远无法知道全部成本。当凭证填充攻击公开时，一些公司的反应是，他们的系统没有被破坏，因此他们对给用户带来的不便不负责任。虽然这一辩护在技术上是正确的，但它往往与公众平起平坐，当公司遭受任何形式的违约时，都会付出不可否认的声誉损失。毕竟，标题通常是"大公司被攻破"而不是"约翰·多伊被攻击是因为他仍在使用相同的密码。"越来越多的监管者，以及公众，要求公司对证书填充攻击负责。如果公司未能实施足够的安全措施来防止此类攻击，未能将违反行为告知公众，或没有采取足够的措施保护密码，则可能会根据GDPR等数据隐私法采取法律行动。例如，2018年，英国信息专员办公室（ICO）对Uber处以38.5万英镑的罚款，原因是"一系列可避免的数据安全漏洞"暴露了约270万英国客户的数据。同年，德国当局对社交媒体公司knudels处以罚款，因为该公司存储了未加密的用户凭证，这些凭证在一次违规行为中被泄露。"你的生意不会被塞满证件吗？用这篇文章来教育你的员工，用一个小测验测试他们的知识！"在推特上留言如何保护您的业务不受凭证填充的影响尽管凭证填充攻击非常普遍，但是有一些相当简单的方法来防范它们。当与第三方提供商合作并通过第三方供应商使用这些保护措施时，这些保护措施尤其有效，这些第三方供应商可以更新他们的解决方案，以随着黑客技术的发展而发展。多因素身份验证Multi-factor authentication（MFA）是防止凭据填充的唯一最有效的保护，因为它要求用户使用附加的身份验证形式登录，而不是简单的用户名-密码组合。这可能意味着生物认证，例如指纹、发送到与用户相关联的设备的一次性代码或发送到安全帐户的电子邮件。由于担心MFA对客户体验的影响，MFA的采用进展缓慢。尽管如此，企业可以通过在上下文中应用MFA来避免给用户带来不便，而不是在任何情况下都要求MFA。Auth0的平台支持逐步身份验证，用户只需在尝试高风险或可疑操作时提交其他凭据。MFA的日益复杂和可定制性正帮助它在企业界流行起来，并有望成为规范。例如，在2020年2月，谷歌宣布将要求Nest智能家居用户使用双因素认证。暴力保护此功能可用于阻止攻击者使用僵尸网络，通过在来自同一用户或同一IP地址的特定次数的失败尝试后将其锁定，从而阻止攻击者使用僵尸网络向系统注入大量登录尝试。虽然暴力保护是一个不可或缺的工具，但它不能阻止凭证填充本身。如今，许多黑客使用IP代理服务，电梯物联网，这种服务可以廉价购买，并通过使每次登录尝试看起来都来自不同的IP地址来规避暴力检测。违反密码保护违反密码保护可以采取多种形式，但必须首先了解哪些密码已暴露。个人用户可以在像havei been Pwned这样的网站上看到他们的凭证是否被泄露，但也有企业级的解决方案。Auth0的破解密码检测是通过保持一个不断更新的数据库来工作的，数据库中有数以亿计的泄露凭证条目。启用此功能的Auth0客户可以自定义它，免费的数据分析软件，因此当用户使用受损凭据登录时，它可能会触发多个级别的反应：用户仍然可以登录，但会向管理员发出警报。用户可以登录，但必须使用MFA验证其身份。在用户更改密码之前，不允许用户登录。密码管理器有许多信誉良好的密码管理器可以为每个在线帐户自动生成一个唯一的密码，或者鼓励用户自己创建唯一的密码，因为他们知道他们不必记住所有的密码。在一个完美的世界里，每个人都会使用一个密码管理器，而不是回收同样的几个密码，而凭证填充攻击将成为过去。不幸的是，企业不能强迫外部客户这样做，但他们可以要求员工这样做，所以这是一种有效的方法来保护您的内部系统。调查问题：您的企业是否安全无虞？凭证填充攻击影响：流媒体网站在线零售商内部业务系统以上都是。见答案。。。正确答案：D防止凭证填充的最有效措施是：暴力检测安全问题多因素身份验证（MFA）没有防御见答案。。。正确答案：C让用户进来，封锁黑客在整个世界发展到超过用户名密码登录标准之前，黑客将继续从事凭证填充攻击。但是，考虑到可以防止凭证填充的工具