安全（仍然）是每个人的责任

我的一个朋友最近收到了一封电子邮件，主题行中以明文形式包含他的密码。 该消息要求索要价值 10,000 美元的比特币。 为了确保合规，攻击者制定了如何入侵和破坏接收器的计划。 这位朋友提到他使用密码管理软件来管理他的密码并发现自己在 140 多个不同的网站上使用了相同的密码。

显然，他需要更改所有网站的密码。

获取用户凭证一直很便宜且容易。 自新冠肺炎疫情爆发以来，大多数组织和员工经历了数字化扩张的加速，这使得工作变得更便宜、更容易。

三月的最后一周，下载量最高的应用是 Zoom。 不幸的是，对于这 320 万新用户（以及所有现有用户）来说，恶意行为者立即利用了其突然的流行，使威胁研究人员能够以不到一分钱的价格购买超过 500,000 个 Zoom 用户名和密码。

在这种情况下，没有人“入侵”Zoom。 没有人利用 Zoom 软件中的特定漏洞。 攻击者仅仅尝试了 Zoom 上其他漏洞中先前暴露的数十亿个凭证中的一部分，就发现它们运行良好。

它们之所以有效是因为人们重复使用凭证。 由于人们参与的数字活动越来越多，他们也开始重复使用凭证。 每个通过流媒体服务、社交媒体平台或企业应用开设的帐户都是重复使用凭证的另一个机会。 早在 2015 年， Dashlane 对超过 20,000 名用户的数据进行分析发现，平均每个用户拥有 90 个在线账户。 仅在美国，这一平均值就达到 130。 在过去五年中，数字服务的使用不断增长，随之而来的是凭证的需求。

在企业界，所需证书的数量同样令人担忧。 LastPass 的一项调查“发现，在拥有超过 1,000 名员工的大型公司中，平均每位员工预计拥有大约 25 个唯一登录名。 在最小的公司中，这个数字会飙升至 85，对于普通人来说，数字和符号太多了，难以记住。 没有密码管理器的员工几乎不可避免地会重复使用密码，或者使用容易被字典攻击破解的常用密码。”

有证据表明，即使是使用密码管理器的人也可能跨设备重复使用密码。

攻击者知道这一点。 他们之所以能成功获取个人和公司账户的访问权限，是由于密码重复使用的泛滥以及一种被称为“撞库攻击”的技术。

撞库攻击是一种使用凭证列表尝试访问应用和网站的攻击技术。 通过自动化技术，攻击者可以在几分钟内迭代数千个凭证列表，将每个凭证“塞入”登录屏幕，直到找到有效的凭证。

数字化转型带来的应用的扩展为不良行为者提供了额外的攻击面，从而加剧了这一问题。 疫情迫使各组织提供数字化能力，从而扩大了攻击者的凭证池和可能的目标。

有一些既定的最佳实践可以帮助企业和消费者避免成为撞库攻击攻击的受害者。

• 用户应仔细注意工作和个人用途的密码管理。 使用简单的技术（例如将常见的复杂密码字符串与网站名称中的某些字符混合使用）可以帮助减少因忘记凭证而导致密码重复使用的担忧。 例如，美国银行的密码为 B<复杂字符串>A，富国银行的密码为 W<复杂字符串>F 或类似变体。
• 基础设施（包括企业和家庭）的默认密码应立即更改。 在家里，这意味着路由器、调制解调器、摄像头、家庭自动化系统和无线接入点。 在企业中，这包括路由器和交换机等基础设施，或管理员用来管理应用基础设施的操作应用。 （在 90 年代，使用默认管理设置通过 SSH 连接到路由器是一种常见的黑客攻击方式。）
• 在金融、商业和娱乐活动中使用不同的浏览器，以最大限度地减少 MITB（浏览器中的人）的危害。 更改您的设置以在退出时清除缓存和 cookie，并养成每次退出时关闭浏览器的习惯。

随着疫情继续重塑我们彼此之间以及与组织之间互动的方式，我们所依赖的应用和账户的数量将继续成为攻击者的诱人机会。 事实是，你无法阻止任何攻击。 你无法控制不良行为者的行为。 但您可以采取措施防止攻击成功。

有关撞库攻击的更多背景信息，请参阅《凭证危机》： 这是F5 实验室真实发生的事情。