04/12/2021

Nhồi nhét thông tin xác thực là gì? Sự khác biệt giữa nhồi nhét thông tin đăng nhập và lực lượng vũ phu là gì?

Nhồi nhét thông tin xác thực là gì?  Sự khác biệt giữa nhồi nhét thông tin đăng nhập và lực lượng vũ phu là gì?

Nhồi nhét thông tin xác thực là gì?

Nhồi nhét thông tin xác thực là một cuộc tấn công mạng trong đó thông tin xác thực thu được từ một vi phạm dữ liệu trên một dịch vụ được sử dụng để cố gắng đăng nhập vào một dịch vụ không liên quan khác.

Ví dụ: kẻ tấn công có thể lấy được danh sách tên người dùng và mật khẩu có được từ việc xâm phạm một cửa hàng bách hóa lớn và sử dụng các thông tin đăng nhập tương tự để cố gắng đăng nhập vào trang web của một ngân hàng quốc gia. . Kẻ tấn công hy vọng rằng một phần nhỏ khách hàng của cửa hàng bách hóa đó cũng có tài khoản tại ngân hàng này và họ sử dụng lại cùng tên người dùng và mật khẩu cho cả hai dịch vụ.

Các cuộc tấn công nhồi nhét thông tin xác thực phổ biến nhờ vào danh sách khổng lồ các thông tin xác thực bị vi phạm đang được giao dịch và bán trên thị trường chợ đen. Sự gia tăng của các danh sách này, kết hợp với những tiến bộ trong công cụ nhồi nhét thông tin xác thực sử dụng bot để vượt qua các biện pháp bảo vệ đăng nhập truyền thống, đã khiến nhồi nhét thông tin xác thực trở thành một vectơ tấn công phổ biến.

Tấn công nhồi nhét thông tin xác thựcTấn công nhồi nhét thông tin xác thực

Điều gì khiến cuộc tấn công nhồi nhét Thông tin xác thực trở nên hiệu quả?

Theo thống kê, các cuộc tấn công nhồi nhét Credential có tỷ lệ thành công rất thấp. Nhiều ước tính đưa nó vào khoảng 0,1%, có nghĩa là cứ mỗi nghìn tài khoản mà kẻ tấn công cố gắng bẻ khóa, chúng sẽ thành công gần như một lần. Những kẻ tấn công giao dịch với khối lượng lớn bộ sưu tập thông tin xác thực khiến việc thực hiện một cuộc tấn công nhồi nhét thông tin xác thực là rất đáng giá, mặc dù tỷ lệ thành công thấp.

Những bộ sưu tập này chứa hàng triệu và trong một số trường hợp là hàng tỷ thông tin đăng nhập. Nếu kẻ tấn công có một triệu bộ thông tin xác thực, điều này có thể mang lại khoảng 1.000 tài khoản đã bẻ khóa thành công. Nếu ngay cả một tỷ lệ nhỏ tài khoản bị bẻ khóa mang lại dữ liệu sinh lời (thường ở dạng số thẻ tín dụng hoặc dữ liệu nhạy cảm có thể được sử dụng trong các cuộc tấn công lừa đảo) thì cuộc tấn công là có giá trị. Trên hết, kẻ tấn công có thể lặp lại quá trình bằng cách sử dụng cùng một bộ thông tin xác thực trên nhiều dịch vụ khác nhau.

See also  Có gì mới trong Linux Kernel 5.14?

Những tiến bộ trong công nghệ bot cũng khiến việc nhồi nhét Credential trở thành một cuộc tấn công khả thi. Các tính năng bảo mật được tích hợp trong biểu mẫu đăng nhập ứng dụng web thường bao gồm độ trễ thời gian và chặn địa chỉ IP của những người dùng đã đăng nhập không thành công nhiều lần. Phần mềm nhồi nhét thông tin xác thực hiện đại phá vỡ các biện pháp bảo vệ này bằng cách sử dụng bot để thử đồng thời một số thông tin đăng nhập có vẻ như đến từ các loại thiết bị khác nhau và xuất phát từ các địa chỉ IP khác nhau. Mục tiêu của một bot độc hại là làm cho các nỗ lực đăng nhập của kẻ tấn công không thể phân biệt được với lưu lượng đăng nhập thông thường và nó rất hiệu quả.

Thông thường, dấu hiệu duy nhất giúp một công ty nhận ra rằng họ đang bị tấn công là sự gia tăng tổng số lần đăng nhập. Ngay cả khi đó, công ty được nhắm mục tiêu sẽ gặp khó khăn trong việc ngăn chặn những nỗ lực này mà không ảnh hưởng đến khả năng đăng nhập vào dịch vụ của những người dùng hợp pháp.

Lý do chính khiến các cuộc tấn công nhồi nhét thông tin xác thực hoạt động là do mọi người sử dụng lại mật khẩu. Các nghiên cứu cho thấy rằng phần lớn người dùng, theo một số ước tính lên đến 85%, sử dụng lại cùng một thông tin đăng nhập cho nhiều dịch vụ. Miễn là quy trình này tiếp tục, tính năng nhồi Thông tin xác thực sẽ vẫn hoạt động.

See also  Tra cứu điểm thi vào lớp 10 năm 2021 trên toàn quốc

Sự khác biệt giữa nhồi nhét thông tin đăng nhập và lực lượng vũ phu là gì?

OWASP phân loại nhồi nhét Thông tin xác thực là một tập hợp con của các cuộc tấn công Brute Force. Tuy nhiên, nói một cách chính xác, nhồi nhét Credential rất khác với các cuộc tấn công Brute Force truyền thống. Các cuộc tấn công Brute Force cố gắng đoán mật khẩu mà không có ngữ cảnh hoặc manh mối, sử dụng các ký tự ngẫu nhiên đôi khi được kết hợp với các đề xuất mật khẩu phổ biến. Mặt khác, nhồi nhét thông tin xác thực sử dụng dữ liệu bị lộ, làm giảm đáng kể số lượng câu trả lời đúng có thể có.

Một cách bảo vệ tốt trước các cuộc tấn công Brute Force là một mật khẩu mạnh bao gồm một số ký tự và bao gồm cả chữ hoa, số và các ký tự đặc biệt. Nhưng độ mạnh của mật khẩu không bảo vệ người dùng khỏi các cuộc tấn công nhồi nhét Thông tin xác thực. Mật khẩu mạnh đến đâu không quan trọng. Nếu mật khẩu được chia sẻ trên các tài khoản khác nhau, việc nhồi nhét Thông tin xác thực vẫn có thể gây hại.

Cách ngăn chặn nhồi nhét thông tin xác thực

Cần thực hiện các biện pháp để ngăn chặn việc nhồi nhét thông tin xác thựcCần thực hiện các biện pháp để ngăn chặn việc nhồi nhét thông tin xác thực

Cách người dùng có thể ngăn chặn việc nhồi nhét thông tin xác thực

Theo quan điểm của người dùng, việc bảo vệ chống lại việc nhồi nhét Thông tin xác thực là khá đơn giản. Người dùng phải luôn sử dụng mật khẩu duy nhất cho các dịch vụ khác nhau (một cách dễ dàng để đạt được điều này là sử dụng trình quản lý mật khẩu). Nếu người dùng luôn sử dụng một mật khẩu duy nhất, thì tính năng nhồi nhét Thông tin xác thực sẽ không hoạt động với tài khoản của họ. Như một biện pháp bảo mật bổ sung, người dùng được khuyến khích luôn bật xác thực hai yếu tố khi có sẵn.

See also  Cần chuẩn bị những gì để sẵn sàng cập nhật lên iOS 15? Tôi có nên nâng cấp lên iOS 15 không?

Cách các công ty có thể ngăn chặn việc nhồi nhét thông tin xác thực

Ngăn chặn nhồi nhét thông tin xác thực là một thách thức phức tạp hơn đối với các công ty vận hành dịch vụ xác thực. Việc nhồi nhét thông tin xác thực xảy ra do vi phạm dữ liệu tại các công ty khác. Một công ty bị nhắm mục tiêu bởi một cuộc tấn công nhồi nhét Thông tin xác thực không nhất thiết phải có vi phạm bảo mật.

Một công ty có thể yêu cầu người dùng của mình cung cấp mật khẩu duy nhất nhưng không thể thực thi hiệu quả điều này như một quy tắc.

Một số ứng dụng sẽ chạy mật khẩu đã gửi dựa trên cơ sở dữ liệu của các mật khẩu đã bị xâm phạm, trước khi chấp nhận mật khẩu như một biện pháp đối phó với việc nhồi nhét Thông tin xác thực, nhưng điều này không an toàn – người dùng có thể đang sử dụng lại mật khẩu từ một dịch vụ chưa bị vi phạm.

Cung cấp các tính năng bảo mật đăng nhập bổ sung có thể giúp giảm nhồi nhét Thông tin xác thực. Việc bật các tính năng như xác thực hai yếu tố và yêu cầu người dùng điền hình ảnh xác thực khi đăng nhập cũng giúp ngăn chặn các chương trình độc hại. Mặc dù cả hai tính năng này đều gây bất tiện cho người dùng, nhưng nhiều người sẽ đồng ý rằng việc giảm thiểu mối đe dọa bảo mật đáng để đánh đổi.

Biện pháp bảo vệ mạnh nhất chống lại việc nhồi nhét Thông tin xác thực là dịch vụ quản lý bot. Quản lý bot sử dụng giới hạn tốc độ kết hợp với cơ sở dữ liệu IP để ngăn chặn bot độc hại thực hiện các nỗ lực đăng nhập mà không ảnh hưởng đến thông tin đăng nhập hợp pháp.