凭证泄露

本文约需 2 分钟阅读

凭据泄露是指用户名、密码、API 密钥、会话令牌等认证信息落入本不应拥有访问权限的第三方手中。它是数据泄露中尤为严重的一类，泄露的认证信息会成为撞库攻击的燃料，使危害如滚雪球般扩大。

泄露途径

凭据泄露的途径多种多样。规模最大的是数据库入侵，即服务提供商的服务器遭到攻击，用户的认证信息被批量泄露。如果存储的是未经哈希处理的明文密码，危害会立即扩大。钓鱼作为针对个人的泄露途径依然最为有效，主流手法是诱导用户在伪造的登录页面输入认证信息。通过键盘记录器和间谍软件等恶意软件进行的窃取，以及内部作案 (员工私自带出)，也是不可忽视的途径。

组合列表与暗网交易

泄露的认证信息会被整理成称为「组合列表」的格式。这是一种将邮箱地址与密码的组合按每行一条列举的文本文件，数亿条规模的列表在暗网的交易市场上买卖。价格因新鲜度和规模而异，近期泄露且未经验证的列表会以高价交易。攻击者将这些列表投入自动化工具，对多个服务发起大量登录尝试。由于重复使用密码的用户一旦某个服务发生泄露，就会导致所有账户被入侵，因此正确理解密码重复使用的风险至关重要。

Have I Been Pwned 的原理与活用方法

由安全研究员 Troy Hunt 运营的 Have I Been Pwned (HIBP) 是一项可检索过去泄露事件中外流的邮箱地址和密码的免费服务。截至 2024 年，数据库中已登记超过 130 亿条被泄露的账户信息。 HIBP 的密码检索 API 采用 k-Anonymity 模型，仅将密码 SHA-1 哈希的前 5 个字符发送至服务器，接收匹配哈希的列表后在本地进行比对。由此，被检索的密码本身绝不会被发送至服务器。建议企业安全团队将 HIBP 的 API 集成到认证流程中，以阻止使用已泄露密码进行注册。信息安全实践书 (Amazon)也能帮助你获得系统的泄露应对知识。

泄露后的危害连锁

凭据泄露的危害不会止于最初的泄露。通过使用泄露认证信息的撞库攻击，重复使用同一密码的其他服务的账户会接连被劫持。被劫持的账户中又会被窃取更多个人信息，并被滥用作鱼叉式钓鱼的素材，由此引发连锁反应。一旦金融服务账户被入侵，便会造成直接的金钱损失；一旦邮箱账户被入侵，则会经由密码重置使所有服务都暴露于危险之中。

企业与个人各自的应对措施

在企业一方的对策中，基本做法是以加盐哈希的方式存储密码 (使用 bcrypt 或 Argon2)、引入泄露检测系统，以及制定事件响应计划。也请参考数据泄露应对指南。在个人对策方面，最有效的做法是使用密码管理器为每个服务生成独有的密码，并启用两步验证。只要注册了 HIBP 的通知功能，当你的邮箱地址被包含在新的泄露事件中时，便能立即收到警报。事先了解暗网中的密码泄露实态，也有助于正确判断对策的优先级。