防止您的登录证书成为自动攻击工具的目标

防御措施。

此外，用户还将在登录时使用多重身份验证(例如智能手机应用程序)来辅助证明其身份，并且Web应用程序将能够安全存储用户密码并在设计中考虑到证书泄露的必然性。但可以肯定的是，这些做法尚未普及，并且网络窃贼正在从用户和网站的糟糕安全“卫生”状况中获利。

去年五月，北京警方破获了一起针对一款流行短视频应用程序的网络攻击案件。其千万级外部账号遭到恶意撞库攻击，其中上百万账号密码与外部泄露密码吻合。这类攻击有多个不同的名称：账密猜测、撞库、证书(凭据)填充或密码填充。然而，正如我们从此案中所看到的，此类攻击都有一个前提，就是恶意攻击者会使用盗取的用户名和密码组合尝试登录他们的目标网站，他们之所以这么做是因为用户会在多个网站上使用相同的密码。大多数网站会默认使用用户的电子邮件地址作为用户名，这非但无法起到保护作用，而且还诞生了反复使用同一证书这一“秘诀”。

撞库攻击成功后的结果就是账户接管。被盗的有效账户证书可能会出售给暗网上的其他犯罪分子，或被网络窃贼消费账户的储值，亦或是窃取数据。例如，在中国公安部组织部署的“净网2019”专项行动中，前十个月共侦破侵犯公民个人信息类案件近3000起，而被侵犯的个人信息主要来自暗网。

（编辑：新余站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!