撞库

撞库又稱凭据填充，是指黑客收集大量網絡上已經洩露的某網站的用户名和密码，然后使用這些用戶名和密碼去登陸另一個網站。黑客有可能通過已洩露的用戶名和密碼成功登陸其他網站或系統，是因为许多用户在多个不同的网站上使用相同的用户名和密码。一项调查报告显示，81%的用户在两个或更多网站上重复使用过密码，而25%的用户在大多数账户上使用相同的密码。^[1]如果這些系統涉及金融賬戶，那麼賬戶裡面的錢有被盜竊的風險。有些黑客還會出售能登陸多個網站的賬戶和密碼。^[2]^[3]

连线杂志建議個人在開設多個帐户時應使用不同密码，例如每個賬戶的密碼是由密码管理器自动生成；或者用戶启用双因素身份验证；網站公司也應做好撞库检测和攻擊預防。 ^[4]

参考文献[编辑]

^ Wake-Up Call on Users' Poor Password Habits (PDF). SecureAuth. SecureAuth. July 2017 [2018-07-11]. （原始内容 (PDF)存档于2018-08-12）（英语）.
^ 互联网金融反欺诈的艺术. 东北财经大学. 2018: 65. ISBN 9787565433344.
^ Credential Stuffing. OWASP. （原始内容存档于2019-12-27）.
^ What Is Credential Stuffing?. Wired. [2021-04-11]. ISSN 1059-1028. （原始内容存档于2023-03-06）（美国英语）.

[1] Wake-Up Call on Users' Poor Password Habits (PDF). SecureAuth. SecureAuth. July 2017 [2018-07-11]. （原始内容 (PDF)存档于2018-08-12）（英语）.

[2] 互联网金融反欺诈的艺术. 东北财经大学. 2018: 65. ISBN 9787565433344.

[3] Credential Stuffing. OWASP. （原始内容存档于2019-12-27）.

[4] What Is Credential Stuffing?. Wired. [2021-04-11]. ISSN 1059-1028. （原始内容存档于2023-03-06）（美国英语）.

[1]

[2]

[3]

[4]