撞库

撞库又称凭据填充，是指黑客收集大量网络上已经泄露的某网站的用户名和密码，然后使用这些用户名和密码去登陆另一个网站。黑客有可能通过已泄露的用户名和密码成功登陆其他网站或系统，是因为许多用户在多个不同的网站上使用相同的用户名和密码。一项调查报告显示，81%的用户在两个或更多网站上重复使用过密码，而25%的用户在大多数账户上使用相同的密码。^[1]如果这些系统涉及金融账户，那么账户里面的钱有被盗窃的风险。有些黑客还会出售能登陆多个网站的账户和密码。^[2]^[3]

连线杂志建议个人在开设多个帐户时应使用不同密码，例如每个账户的密码是由密码管理器自动生成；或者用户启用双因素身份验证；网站公司也应做好撞库检测和攻击预防。 ^[4]

参考文献[编辑]

^ Wake-Up Call on Users' Poor Password Habits (PDF). SecureAuth. SecureAuth. July 2017 [2018-07-11]. （原始内容 (PDF)存档于2018-08-12）（英语）.
^ 互联网金融反欺诈的艺术. 东北财经大学. 2018: 65. ISBN 9787565433344.
^ Credential Stuffing. OWASP. （原始内容存档于2019-12-27）.
^ What Is Credential Stuffing?. Wired. [2021-04-11]. ISSN 1059-1028. （原始内容存档于2023-03-06）（美国英语）.

[1] Wake-Up Call on Users' Poor Password Habits (PDF). SecureAuth. SecureAuth. July 2017 [2018-07-11]. （原始内容 (PDF)存档于2018-08-12）（英语）.

[2] 互联网金融反欺诈的艺术. 东北财经大学. 2018: 65. ISBN 9787565433344.

[3] Credential Stuffing. OWASP. （原始内容存档于2019-12-27）.

[4] What Is Credential Stuffing?. Wired. [2021-04-11]. ISSN 1059-1028. （原始内容存档于2023-03-06）（美国英语）.

[1]

[2]

[3]

[4]