DR：凭证填充会威胁用户帐户和服务可用性。安全专家Duncan Godfrey展示了Auth0如何通过违反密码保护来保护客户。任何操作对用户进行身份验证的web应用程序的人都会非常清楚凭证填充攻击。这是一个不断嗡嗡作响的机器人敲打你的基础设施试图接管用户帐户。OWASP将其定义为"自动注入被破坏的用户名/密码对，以便欺诈性地访问用户帐户。"凭据填充是一种高效的暴力攻击，它使用大量可用的被破坏的用户凭据来利用仍然经常发生的用户在不同服务之间重用其密码的故事。最新的Akamai互联网现状报告侧重于凭据填充，并对问题的规模有了一些深入了解-在2018年5月至6月期间，他们记录了835万次凭据填充尝试。它使人们关注2018年将密码作为单一身份验证因素的可怕状况。由于Auth0为客户处理身份验证，我们发现自己处于此类攻击的中心。"@akamai_soti在一个月内报告了835万份凭证填充报告。安全专家@duncangodfrey分享如何在@auth0的帮助下保护您的客户。"在推特上留言在Auth0特别繁忙的日子里，我们将检测到多达60万次使用已知密码被破解的登录。这些攻击并不总是随机的，通常针对的是那些客户资源可能被耗尽的公司，或者可以出售对帐户本身的访问权的公司（即，它允许访问高级内容）。利用密码漏洞检测防范凭证填充为了应对不断增长的凭证填充攻击，我们开发了破解密码检测服务来帮助我们的客户保护他们的用户。一旦启用，该服务将监视使用已知泄露凭据的登录，并可以设置为锁定该用户，直到他们重置密码。您的浏览器不支持HTML5视频。这里是一个被破坏的密码检测。实施这些攻击的僵尸网络不仅威胁我们客户的帐户，而且威胁到我们服务的可用性。攻击者可以缓慢尝试旨在避免检测到的凭据，或者他们可以使用其所有能力来尽快测试凭据的突发尝试。当这种情况发生时，它实际上是一种DDoS攻击，因此我们必须主动管理我们的容量、扩展和速率限制，以保护我们的客户和我们的基础设施。Auth0维护一个不断更新的被破坏凭证集合，其中包含数亿个条目。所有基于密码的登录尝试都会根据该数据库进行检查，并且会实时阻止任何匹配项。Auth0提供了一个免费层来开始现代身份验证。看看吧，或者在这里注册一个免费的Auth0帐户！联邦贸易委员会："无辜的公司受害者"没有辩护凭证填充对那些为客户保存敏感数据的公司来说也是一个日益严重的法律威胁。联邦贸易委员会（FTC）最近对网上报税人采取了行动，因为他们将客户数据留给凭证填充，甚至声称作为"无辜的公司受害者"在执法案件中没有辩护权。相反，在联邦贸易委员会看来，持有敏感客户信息的公司应该采取积极主动的行动，以减少凭证被塞入的风险。现在可以做一些事情来降低自动攻击的风险。首先，它们对受MFA保护的登录无效。使用两个因素进行身份验证应该被认为是保护用户的最低限度的良好做法。当该公司实施MFA时，TaxSlayer攻击被停止。教育你的用户不要重复使用他们的密码，并帮助他们改善他们的密码卫生，可以帮助保护你的用户和你的业务。密码管理应用程序，如1Password或lastpass，使维护所有帐户的唯一密码更容易管理。"自动网络攻击可能会势不可挡。使用@auth0 security expert@duncangodfrey提供的提示来保护您的客户。"在推特上留言现实是，现在对攻击者来说太简单了。这是一个互联网规模的安全问题，我们正积极与客户合作解决。Auth0的创建是为了让每个人都能轻松地管理身份验证，而这一点的基础是希望让每个人都能安全地进行身份验证。关于Auth0Auth0为应用程序、设备和用户提供了一个验证、授权和安全访问的平台。安全性和应用程序团队依赖Auth0的简单性、可扩展性和专业知识，使身份对每个人都有效。Auth0每月维护超过45亿次登录交易，确保身份安全，从而使创新者能够进行创新，并使全球企业能够为其全球客户提供可靠、卓越的数字体验。更多信息，请访问https://auth0.com或在Twitter上关注@auth0。Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；块：显示；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{块：显示；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；字号：18px；}.lightbox.videowrapper容器{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：900px；最大高度：100%；}.lightbox.videoWrapperContainer.videoWrapper容器{高度：0；线高：0；余量：0；填充：0；职位：亲属；填充底部：56.333%；/*自定义*/背景：黑色；}.lightbox.videoWrapper iframe{位置：绝对；顶部：0；左：0；宽度：100%；高度：100%；边框：0；块：显示；}.lightbox上一页，.lightbox下一个{高度：50px；线高：36px；显示：无；顶部边缘：-25px；位置：固定；顶部：50%；填充：0 15px；光标：指针；文字装饰：无；z指数：99；颜色：白色；字号：60px；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；}.灯箱画廊#上一页，.灯箱画廊#下一个{块：显示；}.lightbox上一页{左：0；}.lightbox下一个{右：0；}.lightbox关闭{高度：50px；宽度：50px；位置：固定；光标：指针；文字装饰：无；z指数：99；右：0；顶部：0；}.灯箱#结束：之后,.灯箱#关闭：之前{位置：绝对；顶部边缘：22px；左边距：14px；内容：""；高度：3px；背景：白色；宽度：23px；-webkit转化来源：50%50%；-moz转化来源：50%50%；-o-转化原点：50%50%；转化来源：50%50%；/*狩猎*/-webkit变换：旋转（-45度）；/*火狐*/-moz变换：旋转（-45度）；/*IE公司*/-ms变换：旋转（-45度）；/*歌剧*/-o变换：旋转（-45度）；}.灯箱#结束：之后{/*狩猎*/-webkit变换：旋转（45度）；/*火狐*/-moz变换：旋转（45度）；/*IE公司*/-ms变换：旋转（45度）；/*歌剧*/-o变换：旋转（45度）；}.灯箱，.灯箱*{-webkit用户选择：无；-moz用户选择：无；-ms用户选择：无；用户选择：无；}函数为_imagelink（url）{const p=/（[a-z\-\u 0-9\/\：\.]*\（jpg | jpeg | png | gif））/i；返回url.match（p） 是吗？真：假；}函数回调（）{常量项内容=document.getElementsByClassName（"js条目内容"）[0]；常量图像=entryContent.querySelectorAll（"img"）；图像.forEach（图像=>{常量url=图像.getAttribute（"src"）；如果（url）{if（is_imagelink（url）&&！image.classList.contains（"无灯箱"）{形象