Credential stuffing là gì?
Credential stuffing là một cuộc tiến công mạng trong đó thông tin xác thực thu được từ một vụ vi phạm dữ liệu trên một dịch vụ, được sử dụng để nỗ lực đăng nhập vào một dịch vụ không liên quan khác.
Ví dụ, kẻ tiến công có thể lấy danh sách tên người sử dụng và mật khẩu có được từ việc xâm phạm một cửa hàng bách hóa lớn và sử dụng cùng thông tin đăng nhập để thử đăng nhập vào trang web của một ngân hàng quốc gia. Kẻ tiến công hy vọng rằng một số phần nhỏ khách hàng của cửa hàng bách hóa đó cũng có tài khoản tại ngân hàng này và họ sử dụng lại cùng tên người sử dụng và mật khẩu cho cả hai dịch vụ.
Bạn đang xem bài: Credential stuffing là gì? Credential stuffing khác gì Brute Force?
tiến công Credential stuffing đang phổ biến nhờ vào danh sách khổng lồ những thông tin xác thực bị vi phạm đang được giao dịch và bán trên thị trường chợ đen. Sự gia tăng của những danh sách này, phối hợp với những tiến bộ trong những phương tiện Credential stuffing sử dụng bot để vượt qua những giải pháp bảo vệ đăng nhập truyền thống, đã khiến Credential stuffing trở thành một vectơ tiến công phổ biến.
Điều gì làm cho cuộc tiến công Credential stuffing trở nên hiệu quả?
Theo thống kê, những cuộc tiến công Credential stuffing có tỷ lệ thành công rất thấp. Nhiều ước tính cho biết tỷ lệ này chỉ rơi vào khoảng 0,1%, tức là cứ một nghìn tài khoản mà kẻ tiến công nỗ lực bẻ khóa, chúng sẽ thành công sắp một lần. Khối lượng lớn những bộ sưu tập thông tin xác thực đang được giao dịch bởi những kẻ tiến công khiến việc thực hiện tiến công Credential stuffing trở nên đáng giá, mặc dù tỷ lệ thành công thấp.
những bộ sưu tập này chứa hàng triệu và trong một số trường hợp là hàng tỷ thông tin đăng nhập. nếu như kẻ tiến công có một triệu bộ thông tin xác thực, điều này có thể mang lại khoảng 1.000 tài khoản được bẻ khóa thành công. nếu như ngay cả một tỷ lệ nhỏ những tài khoản bị bẻ khóa mang lại dữ liệu sinh lời (thường ở dạng số thẻ tín dụng hoặc dữ liệu nhạy cảm có thể được sử dụng trong những cuộc tiến công lừa đảo) thì cuộc tiến công là đáng giá. Trên hết, kẻ tiến công có thể lặp lại các bước bằng cách sử dụng cùng một bộ thông tin xác thực trên nhiều dịch vụ khác nhau.
Những tiến bộ trong công nghệ bot cũng khiến Credential stuffing trở thành một cuộc tiến công khả thi. những tính năng bảo mật được tích hợp trong biểu mẫu đăng nhập ứng dụng web thường bao gồm tính năng cố ý trì hoãn thời gian và chặn địa chỉ IP của những người sử dụng nhiều lần đăng nhập không thành công. Phần mềm Credential stuffing hiện đại phá vỡ những giải pháp bảo vệ này bằng cách sử dụng những bot để thử đồng thời một số thông tin đăng nhập có vẻ như tới từ nhiều loại thiết bị khác nhau và bắt nguồn từ những địa chỉ IP khác nhau. Mục tiêu của bot độc hại là làm cho những nỗ lực đăng nhập của kẻ tiến công không thể phân biệt được với lưu lượng đăng nhập thông thường và nó rất hiệu quả.
Thông thường, tín hiệu duy nhất giúp một doanh nghiệp nhận thấy rằng họ đang bị tiến công là sự gia tăng tổng khối lượng những nỗ lực đăng nhập. Ngay cả lúc đó, doanh nghiệp bị nhắm mục tiêu cũng sẽ gặp vấn đề trong việc ngăn chặn những nỗ lực này mà không tác động tới khả năng đăng nhập vào dịch vụ của những người sử dụng hợp pháp.
Lý do chính khiến những cuộc tiến công Credential stuffing có hiệu quả là do mọi người hay sử dụng lại mật khẩu. những nghiên cứu cho thấy rằng đa số người sử dụng, theo một số ước tính lên tới 85%, sử dụng lại cùng một thông tin đăng nhập cho nhiều dịch vụ. miễn sao thực tế này còn tiếp tục, thì Credential stuffing sẽ vẫn có hiệu quả.
Sự khác biệt giữa Credential stuffing và Brute Force là gì?
OWASP phân loại Credential stuffing như một tập hợp con của những cuộc tiến công Brute Force. Nhưng, nói một cách chuẩn xác, Credential stuffing rất khác so với những cuộc tiến công Brute Force truyền thống. những cuộc tiến công Brute Force nỗ lực đoán mật khẩu mà không có văn cảnh hoặc manh mối, sử dụng những ký tự một cách ngẫu nhiên thỉnh thoảng phối hợp với những đề xuất mật khẩu phổ biến. Còn Credential stuffing sử dụng dữ liệu bị lộ, làm giảm đáng kể số lượng câu trả lời đúng có thể có.
Một cách bảo vệ tốt trước những cuộc tiến công Brute Force là một mật khẩu mạnh bao gồm một số ký tự và bao gồm cả chữ hoa, số và những ký tự đặc biệt. Nhưng độ mạnh của mật khẩu không bảo vệ người sử dụng khỏi việc bị tiến công Credential stuffing. Mật khẩu mạnh tới mức nào không quan trọng. nếu như mật khẩu được sử dụng chung trên những tài khoản khác nhau thì Credential stuffing vẫn có thể gây tổn hại.
Cách ngăn chặn Credential stuffing
Cách người sử dụng có thể ngăn chặn Credential stuffing
Theo ý kiến của người sử dụng, việc bảo vệ chống lại Credential stuffing là tương đối đơn thuần. Người sử dụng phải luôn sử dụng mật khẩu duy nhất cho từng dịch vụ khác nhau (một cách dễ dàng để đạt được điều này là sử dụng trình quản lý mật khẩu). nếu như người sử dụng luôn sử dụng mật khẩu duy nhất, Credential stuffing sẽ không hoạt động với tài khoản của họ. Như một giải pháp bảo mật bổ sung, người sử dụng được khuyến khích luôn bật xác thực hai yếu tố khi có sẵn.
Cách những doanh nghiệp có thể ngăn chặn Credential stuffing
Việc ngăn chặn Credential stuffing là một thách thức phức tạp hơn đối với những doanh nghiệp điều hành dịch vụ xác thực. Credential stuffing xảy ra do vi phạm dữ liệu ở những doanh nghiệp khác. Một doanh nghiệp bị nhắm mục tiêu bởi một cuộc tiến công Credential stuffing không nhất thiết đã bị xâm phạm bảo mật.
Một doanh nghiệp có thể đề nghị người sử dụng của mình phân phối mật khẩu duy nhất nhưng không thể thực thi hiệu quả điều này như một quy tắc.
Một số ứng dụng sẽ chạy mật khẩu đã gửi dựa trên cơ sở dữ liệu của những mật khẩu đã bị xâm phạm, trước khi chấp nhận mật khẩu như một giải pháp chống lại Credential stuffing, nhưng điều này không an toàn – người sử dụng có thể đang sử dụng lại mật khẩu từ một dịch vụ chưa bị vi phạm.
phân phối những tính năng bảo mật đăng nhập bổ sung có thể giúp hạn chế Credential stuffing. Việc kích hoạt những tính năng như xác thực hai yếu tố và yêu cầu người sử dụng điền hình ảnh xác thực khi đăng nhập cũng sẽ giúp ngăn chặn những chương trình độc hại. Mặc dù cả hai tính năng này đều gây bất tiện cho người sử dụng, nhưng nhiều người sẽ đồng ý rằng việc hạn chế mối đe dọa bảo mật đáng để đánh đổi.
giải pháp bảo vệ mạnh nhất chống lại Credential stuffing là dịch vụ quản lý bot. Việc quản lý bot sử dụng giới hạn tốc độ phối hợp với cơ sở dữ liệu IP để ngăn những bot độc hại thực hiện những nỗ lực đăng nhập mà không tác động tới những thông tin đăng nhập hợp pháp.
Bản quyền bài viết thuộc Trường Cao đẳng Tài nguyên và Môi trường miền Trung. Mọi hành vi sao chép đều là gian lận!
Nguồn chia sẻ: https://cmm.edu.vn
https://cmm.edu.vn/credential-stuffing-la-gi-credential-stuffing-khac-gi-brute-force/
Trích nguồn: Cmm.Edu.Vn
Danh mục: Tổng hợp