撞库与密码喷射

虽然该规则也有例外，但大多数在线企业都使用密码来保护用户帐户。当新用户决定开设几乎任何在线帐户时，系统会提示他们选择密码。理论上，这个密码应该可以保护帐户免受入侵者的侵害。 不幸的是，就像可以使用正确的工具撬开物理锁一样，受密码保护的数字锁也可以。自互联网诞生以来，黑客和其他不良行为者就利用密码攻击来针对这一固有漏洞并发起帐户接管。 不良行为者通常特别使用两种类型的密码攻击：撞库和密码喷射。虽然这些攻击有许多相似之处并且密切相关，但两者之间也存在重要差异。 下面，我们定义了撞库和密码喷射，看看它们的异同，并探讨如何保护您的用户（和企业）免受这些攻击。 什么是撞库？ 撞库是一种密码攻击，不良行为者可以访问一个在线帐户的用户凭据，然后尝试使用这些凭据访问其他在线帐户。 据估计，每个人平均拥有 个在线帐户，每个帐户都必须受到密码保护。 在理想的情况下，每个密码都是唯一的。

不幸的是大多数人对多

个帐户重复使用相同的密码（或相同密码的变体），这带来了撞库攻击的可能性。 在撞库攻击中，个人用于访问其在线帐户的凭据（用户名、电子邮件地址、密码）会以某种方式受到损害 – 通常是由于在线泄漏。黑客知道凭据通常会被多个帐户重复使用，然后尝试使用这些凭据来访问该个人可能  捷克共和国 WhatsApp 号码列表 持有的其他帐户。如果这些凭据不起作用，黑客还可能尝试已知密码的常见变体 – 例如，将某些字母替换为数字，或添加标点符号。 凭证填充可以手动执行。但由于这通常是一个数字游戏，因此许多黑客使用僵尸网络来进行攻击。 举个例子，假设黑客已经获得了个人 LinkedIn 凭据的访问权限。黑客知道个人的用户名、电子邮件地址、生日和密。使用此信息，黑客可能会尝试登录该个人的其他帐户，例如他们的 Facebook 帐户或在线银行帐户。如果 起作用，他们可能会尝试常见的变体，例如： 贝瑟 贝瑟尼 贝瑟尼！他们继续尝试新的变体，直到获得帐户的访问权限或被安全协议锁定。然后，他们会转向另一个网站，直到用尽所有可能性。

什么是密码喷射？

密码喷射 攻击是一种密码攻击，攻击者不知道个人的密码，而是循环浏览最常用的密码列表来尝试登录用户的帐户。 如上所述，一般人拥有数十个在线帐户，每个帐户都需要密码。当然，记住所有这些密码可能很困难，因此有些人在开设新帐户时选择使用常用或易于记住的密码。虽然示例很多，但一些最常用  文本服务 的密码包括密码 通常，黑客会尝试使用单一密码登录许多不同的帐户（即，在许多帐户上“喷洒”密码，希望密码能保留在其中一个帐户上）。一旦他们使用第一个密码完成了目标帐户列表，他们就会转到下一个密码，重复该过程。此方法有时可以帮助黑客避免因登录尝试失败次数过多而被锁定帐户。 在密码喷射攻击中，黑客无法访问已知的凭据。相反，他们尝试使用常用密码登录用户帐户。