什麼是撞庫攻擊?

「撞庫攻擊」(Credential Stuffing Attack),依照中文字面意思來理解,即「碰撞資料庫」。 「資料庫」往往儲存大量重要且敏感的數據,例如使用者登入網站所需的使用者名稱、密碼、手機號碼等等;「碰撞」則意味著碰運氣,不一定成功。 最常見的撞庫攻擊場景是盜號。 譬如,攻擊者利用一些自動化工具(如腳本)向目標網站相關介面(如登入介面)大量提交大量使用者名稱/密碼組合,並記錄其中可以成功登入的組合資料完成盜號。 由於許多使用者在不同網站使用的是相同的帳號密碼,因此駭客可以透過取得使用者在A網站的帳號去嘗試登入B網站。

 

如何防止撞庫攻擊?

1.盡量不要在多個網站使用相同密碼。 建議您註冊FUTX帳號時,不要使用和其他帳號相同的密碼。 如條件允許,也建議您使用單獨或非常用郵箱及手機號碼進行註冊。

2.設定更複雜的密碼。 建議您註冊FUTX帳號時,不要使用如「123456、111111」等簡單密碼,而是設定更複雜的密碼,例如密碼可以包含大小寫字母、特殊符號等,且無明顯規則,盡量不要包含您的姓名 、生日等易被他人獲取的資訊。

3.定期更換常用密碼。 建議您定期更改您的FUTX帳戶密碼,例如2個月更改一次。

4.除密碼外,啟用更多身份驗證機制。 建議您為您的FUTX帳號啟用Google(2FA)驗證。