密码列表攻击是一种网络攻击,攻击者使用预先编译的 ID 和密码列表(通常通过其他站点的漏洞获取)尝试未授权访问企业或组织网站。 这种方法也被称为“帐户列表攻击”或“基于列表的帐户黑客攻击”。
攻击者通常从不安全的网站或系统获取这些 ID 密码列表。 例如,如果攻击者使用窃取的凭证访问电子商务帐户,他们可能会窃取个人信息或滥用存储的信用卡详细信息。 密码列表攻击的受害者可能会因未经授权的提款或欺诈交易而面临财务损失。
密码列表攻击的原因
- 重复使用ID和密码: 许多用户在多个服务中重复使用相同的凭据,这使得攻击者更容易入侵多个帐户。
- 网络钓鱼攻击: 攻击者可能会通过网络钓鱼获取凭证列表,即诱骗用户在虚假但令人信服的网站上输入他们的凭证。
与其他网络攻击的区别
密码列表攻击经常与以下攻击类型混淆:
- 暴力攻击: 通过尝试所有可能的组合来系统地猜测密码。
- 字典攻击: 使用预定义的常用密码或单词组合库,例如名称或短语。
- 密码喷洒攻击: 使用单个密码尝试同时登录多个帐户,避免帐户锁定机制。
密码列表攻击特别难以检测,因为与暴力攻击相比,每个帐户的登录尝试次数更少。
真实事件示例
- QR码支付系统: 2019年7月,日本“7pay”二维码支付服务因未授权访问遭受财务损失,疑似涉及密码列表攻击,导致该服务关闭。
- 银行存款: 2020 年 9 月,NTT Docomo 遭遇利用被盗凭证通过其“Docomo 账户”服务从银行账户进行欺诈性提款的情况。
密码列表攻击的影响
- 未经授权的提款和付款欺诈: 凭证被盗可能导致未授权访问银行账户或信用卡被滥用。
- 数据泄露: 受害者可能会遭遇敏感的个人或公司信息泄露。
- 社交媒体上的冒充: 未授权访问社交媒体帐户可能会通过虚假帖子或消息损害声誉。
- 服务提供商的法律责任: 公司可能因安全措施不力而面临民事和刑事责任,从而导致昂贵的损害控制。
- 失去公众信任: 违规行为会损害公司的声誉并降低用户对其服务的信任。
防止密码列表攻击
个人和组织都必须实施策略来防止这些攻击:
- 避免重复使用凭证: 用户应为每项服务使用唯一的 ID 和密码,而服务提供商应向用户普及这一做法。
- 使用 WAF 监控登录尝试: 使用 Web应用防火墙 (WAF) 来检测可疑的登录活动,例如来自同一 IP 或异常位置的多次尝试。
- 实施双因素身份验证(2FA): 添加额外的身份验证步骤(例如通过电子邮件发送一次性密码)有助于防止未授权访问,即使凭据被泄露。