什么是“凭证填充”？犯罪分子用来窃取你财务的新技术

你或许已经收到了来自像 Yahoo、万豪酒店、Quora、Equifax 等公司的电子邮件，告诉你你的登录凭证可能已经遭到泄露。但是，当巨大的资料泄露发生时，究竟会发生什么事？收到这些邮件的人真的在乎吗？事实上，由于一种叫做凭证填充credential stuffing的技术，资料泄露比你想像的要危险得多你真的不应该仅仅删除这些邮件，然后假装什么都不会发生。

当资料泄露发生时，被窃取的信息通常会被放入一个资料库中。网路罪犯随后会尝试在暗网上出售该资料库。这些信息往往最终会泄露到开放的互联网上，这意味著任何拥有电脑的人都可以免费访问。

什么是凭证填充？

凭证填充是一种相对较新的网路罪犯技术，他们使用自动化脚本来在众多目标网站上批量尝试泄露的电子邮件/密码组合。简而言之，软体完成了繁重的工作，因此罪犯可以在几秒钟内轻松访问多个帐户。

Reddit 认可这种凭证填充行为目前造成了很多麻烦。基本上，如果你对大多数帐户使用相同的电子邮件和密码，骇客就可以利用凭证填充来访问这些帐户，盗取你的信用卡信息、窃取你的银行帐户、以你的名义购物，并总体上对你的财务生活造成混乱。

这种做法对公司和消费者来说都很危险，并且已经成为接管线上帐户的最常见方法之一。

凭证填充的运作方式

凭证填充攻击的运作如下：

凭证填充之所以有效的主要原因之一是许多人在不同帐户之间使用相同的密码。例如，如果你在 Facebook 和银行帐户使用相同的密码，一旦骇客利用凭证填充获得你的 Facebook 登录，便能毫无障碍地访问你的银行帐户。没有任何阻碍。而软体又让这一切变得轻而易举，使得网路罪犯毫不费力。

要控制这一切，你需要为每个帐户使用独特且难以猜测的密码。使用密码管理器是一个很好的方法。

密码管理器会自动填入你访问的网站的密码，你只需要用一个主密码来控制。这意味著你可以为每个网站设置独特的密码，但并不需要记住所有密码。这正是该应用的功能。你只需记住你的主密码。

你可能会想知道密码管理器和网页浏览器提供的保存和存储密码方式有何不同。使用浏览器时，信息并未被加密，这使得骗子可以轻易访问。

最重要的一点是选择一个难以猜测的主密码。这个密码必须是随机的，例如HG929smboHA@。如果你不使用密码管理器，应该为每个帐户创建这样独特的密码，这样可以降低凭证填充的危险性。

因此，请记住：不要仅仅删除资料泄露警报邮件，然后假设什么都不会发生。随著凭证填充的出现，你的所有帐户都可能面临风险。

像凭证填充这样的技术是罪犯获取用户帐户访问权限和盗窃身份的主要方式之一。身份盗窃现在是美国的头号消费罪行。