凭证填充防护

什么是凭证填充？为什么需要防护？

凭证填充是指攻击者把大量从数据泄露中获得的用户名/密码组合自动化地尝试在目标网站或服务上登录，以期找到可复用的账号凭证。凭证填充防护的目标是识别并拦截这种基于“已泄露凭证批量尝试”的攻击，保护用户账户和企业系统免受非法入侵、资金与数据损失。

凭证填充不同阶段的危害影响

• 收集：从泄露数据库、暗网或爬虫处收集凭证列表。
• 自动化尝试：用脚本或自动化工具在大量目标站点尝试登录。
• 盲用/扩展滥用：成功的凭证用于转移资金、窃取数据或进行账号接管（ATO）。

凭证填充的危险在于：凭证来自真实用户，且往往配合代理池以掩饰来源，传统的速率限制或单一风控规则很难完全阻挡。

常见检测信号

• 失败/成功模式异常：短时间内大量失败登录后夹杂少量成功。
• 凭证来源重复性：同一凭证在多个 IP/地域短时间内出现尝试记录。
• 登录行为与历史不符：设备指纹、User-Agent、时区、语言与账号历史不一致。
• 代理/匿名网络痕迹：大量来自数据中心 IP、VPN、Tor 或已知代理池。
• 速率与并发特征：高并发、规则化请求间隔、重复的请求序列。

实用防护策略（运营与工程双视角）

1. 多信号风控：结合失败率、IP信誉、设备指纹、行为差异与地理一致性进行评分决策。

2. 智能速率限制：按账号、IP、设备和代理类型区分速率策略，低风险用户享受宽松策略，高风险流量严格限制。

3. 强化多因素认证（MFA）：对高风险或首次登录的会话强制二次验证（短信、TOTP、Push）。

4. 密码阻断与检测：阻止已知泄露密码登录；在注册/更改密码时告知并阻止弱/泄露密码。

5. 挑战式交互：对可疑登录引入验证码、人机验证或行为挑战，增加自动化成本。

6. 设备与会话指纹化：记录设备特征与历史登录图谱，若新会话与历史差异大则触发审查。

7. 蜜罐与速率陷阱：为自动化工具设置诱饵路径或速率阈值，以便早期捕捉恶意流量。

8. 后端验证链路（Server-side）：减少对前端像素/JS 的依赖，采用服务器端回传与签名的可信验证流程。

这些策略应结合使用，并随威胁情报与攻击模式动态调整。

实施要点与权衡

• 误报 vs 放行：过严会影响真实用户体验，过松会被攻击绕过；引入分级响应（软阻断→挑战→强阻断）可平衡两者。
• 性能成本：实时指纹/评分系统需兼顾延迟与伸缩性，推荐在边缘缓存低风险判断并把复杂决策下沉到后端批处理或异步流程。
• 数据隐私与合规：设备指纹、行为数据与地理信息的收集需遵守隐私法规与最小化原则。
• 情报共享：和行业/联盟共享被攻击的 IP、凭证哈希可提升防护效果，但需做好去标识化和合规控制。

常见问题

Q1. 凭证填充和暴力破解有什么不同？

凭证填充用的是已有的真实凭证列表，尝试次数通常少但精准；暴力破解是穷举密码空间，尝试量大但通常效率低。

Q2. 单靠验证码能阻止凭证填充吗？

验证码能增加攻击成本，但现代攻击可集成 OCR 或外包打码，验证码应作为多个防护层之一，而非唯一手段。

Q3. 我们应否立即强制所有用户开启 MFA？

优先对高风险用户与管理/支付类账户强制 MFA；对全量用户可采用逐步推广与风险触发策略以降低阻力。

Q4. 如何处理被填充成功的账号？

立即中断会话、通知用户、强制重置密码并审计异常操作（资金、隐私访问），同时锁定相关源 IP 与设备指纹用于溯源。

Q5. 小型网站预算有限，先做哪几项？

优先部署：泄露密码阻断、智能速率限制与登录异常告警；再逐步加入 MFA 与设备指纹。