凭证填充和蛮力攻击有什么区别

凭证填充攻击和蛮力攻击最大的区别就是可以利用收集到被攻击者相关的泄露数据，有针对性的指定攻击字典，可以在攻击字典上和测试数量上大大精简。而蛮力攻击是在无任何线索下按照常规密码设置建议随机套用字符进行测试。从统计学上讲，凭证填充攻击和蛮力攻击的成功率都非常低，但是这种类型的攻击操作比较简单，即使只有一小部分破解帐户带来可盈利的数据也值得发动这种攻击进，并且反复进行这一过程。

企业防止凭证填充攻击的措施有：

• 公司可以建议其用户使用独特的密码，但通常不能有效地强制执行此操作。某些应用程序对提交的密码在已知的受损密码数据库里进行比对，作为防护凭证填充的方法，但这并不是万无一失的–用户可能会在尚未受损的服务中重复使用密码。

• 增加登录安全功能有助于进行凭证填充防护。启用双因素身份验证等功能，并在登录时要求用户填写 CAPTCHA（验证码），这两种机制也有助于阻止恶意机器人。虽然这两项机制会给用户带来诸多不便，但多数人承认，这能最大限度地减少安全威胁，即使不便也值得。

• 采用机器人管理服务，防范凭证填充的最强保护机制是机器人管理服务。机器人管理机制采用速率限制和IP信誉数据库相结合的方式，在不影响合法登录的情况下，阻止恶意机器人尝试登录。

• 对文档进行加密，能对计算机中常用的文件类型进行加密，从而使该类型文件下的文件在打开后自动加密，并且不影响员工目前局域网电脑的正常使用，主要是为了限制员工私自外发行为，未经审批的文件在终端电脑打开后都是乱码。

• 对文档操作审计，对于工作人员在电脑上使用的文件进行操作审计，如打开后添加或删除文件都可进行操作记录，这样可以有效防止信息泄露，也可以降低凭证攻击的可能性。

• 从用户角度而言，防御凭证填充的方法十分简单。用户应一律为各项不同的服务设置唯一密码（要实现这一目标，一个简单的方法就是使用密码管理器）。如果用户一律设置唯一密码，凭证填充则不会危及其帐户。另有一种安全措施是，鼓励用户尽可能启用双因素身份验证。