所謂帳號填充攻擊乃是駭客集團透過自動化方式將某處偷來的同一組帳號密碼，嘗試登入其他多個熱門網站的攻擊方式。這種攻擊之所以能夠奏效的原因，就是大部分的使用者皆以相同的帳號和密碼，到處註冊在不同的服務中。只要其中一個服務的使用者資料遭駭外洩，駭客便能透過上述的手法，輕易取得其他網站服務帳號的控制權。

 

OWASP針對如何防範帳號填充攻擊，依據可行性區分成主要和次要等2種，提出以下具體的建議措施：

◆主要：

1. 採用多因素驗證

2. 使用CAPTCHA驗證

3. 封鎖IP位址黑名單

4. 採集裝置指紋

5. 不用電子郵件信箱做為帳號名稱

◆次要：

1. 採用多重步驟登入程序

2. 封鎖無使用者介面（Headless）瀏覽器

3. 禁用已被駭的密碼

4. 出現異常存取時通知使用者

 

詳文請見ithome 原文新聞稿