简单百科
撞库

撞库

“撞库”（Credential stuffing）也称凭证填充。按照字面意思解读，就是“碰撞数据库”的意思。简单说“撞库”是一种黑客攻击方式。

撞库是一种常见的网络攻击方式，犯罪分子会使用自动化系统和被破解的登录凭据访问在线账户。黑客会收集在互联网上已然泄露的用户信息以及密码，进而生成与之相对应的字典表。随后，他们尝试利用该字典表批量登录其他网站，以此获取用户一系列能够成功登录的账号和密码。很多用户在不同网站使用的是相同的账号密码，因此黑客可以通过获取用户在A网站的账户尝试登录B网址，这就可以理解为撞库攻击。撞库攻击取决于密码的重复使用，受害者常为多个在线账户设置相同的用户ID和密码组合。

撞库攻击事件是指黑客利用从其他途径获取的泄露用户数据，尝试登录其他网站或服务，以获取用户敏感信息。这类攻击的成功率往往较高，因为许多用户在不同平台重复使用相同的用户名和密码。为防止撞库攻击，用户应使用高强度且唯一的密码，并利用密码管理器存储和管理密码，同时尽可能启用多因素身份验证。企业则需强制员工使用高强度密码和多因素身份验证，采用企业密码管理程序来确保密码安全。此外，监控公共数据转储、设置警报以及加强员工安全意识培训也是有效的防范措施。全国首例撞库打码案显示了对此类犯罪的严厉打击，浙江省杭州市余杭区人民法院作出判决，认定被告人谭某犯非法获取计算机信息系统数据罪，判处有期徒刑三年，缓刑四年，其他人也做了相应判决。

名词定义

“撞库”按照字面意思解读，就是“碰撞数据库”的意思。该术语由 Shape 证券的联合创始人 Sumit Agarwal 提出，当时他正担任五角大楼国防部副助理部长。简单说“撞库”是一种黑客攻击方式：黑客拿到网络用户在A平台注册的账号密码后，形成“密码库”，然后去B平台，通过编辑一定的规则，“试”着登录。

“撞库攻击”。所谓撞库攻击，就是通过已经在某些渠道泄露出的用户密码在目标网站进行尝试，由于有相当一部分用户在多个网站使用同一个密码，所以撞库攻击的成功率很高。为避免撞库攻击除了要求网站在校验时要使用图形验证码，同时也要求用户不要始终使用同一套密码，要对密码做到分级管控。密码的分级管控就是对于不含社交信息、隐私信息、交易信息的系统使用一套密码：对于包含社交信息的系统使用另一套密码：对于涉及金钱交易的系统，使用单独的一套且高强度的密码，同时还需要做到定期修改密码。

工作原理

撞库，操作简单、成本较低，其对数据库的攻击需要经过“拖库”——攻破网站、“洗库”——数据处理分析，然后就可以进行“撞库”。

撞库

撞库是一种常见的网络攻击方式，犯罪分子会使用自动化系统和被破解的登录凭据访问在线账户。简单来说黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的账号密码。很多用户在不同网站使用的是相同的账号密码，因此黑客可以通过获取用户在A网站的账户尝试登录B网址，这就可以理解为撞库攻击。撞库攻击取决于密码的重复使用，受害者常为多个在线账户设置相同的用户ID和密码组合。但是撞库成功需要的一个前提就是拖库。

撞库中黑客用于尝试的用户及密码来源于拖库，而拖库本来是数据库领域的术语，指从数据库中导出数据。拖库是撞库的基础，是进行撞库的必要条件。拖库实现起来比撞库复杂得多，手段和方法也非常多，常用的是社工流拖库和技术流拖库。社工流拖库以欺诈、网站仿冒、钓鱼、重金收购、免费软件窃取等为主要手段；技术流拖库则以入侵、攻击为主，如远程下载数据库。利用Web Services 漏洞、服务器漏洞，挂马、病毒、木马后门等技术手段和方法。

通过拖库获取用户的信息后，撞库的实现就比较简单了。当前多数撞库以单脚本登录验证、分布式脚本登录验证，自动代理登录验证，甚至人肉验证等方式来现实。同时Sentry MBA或SNIPR等免费自动化工具让犯罪分子能更加轻松地尝试登录信息并验证被盗凭据。

综合来看，“撞库”操作简单、成本较低，其对数据库的攻击只需要经过“拖库”——攻破网站、“洗库”——数据处理分析，然后就可以进行“撞库”。

对于网络犯罪分子而言，自动使用泄露的用户名和密码来访问账户无疑是一种低风险、高回报的攻击方式。凭证填充是一种网络攻击，也是我们习惯称的“撞库”，利用从一项服务上的数据泄露中获得的登录凭据尝试登录到另一个不相关的服务。

例如，攻击者可能通过攻破一个大型百货商店而获取大量用户名和对应密码，并使用相同的登录凭据尝试登录到某个国际银行的网站。攻击者猜测这些百货商店客户中的某些人在该银行也有帐户，并且他们使用了和百货商店同样的用户名和密码。

OWASP将凭证填充归类为蛮力攻击的子集。但严格来讲，撞库（凭证填充）与传统的暴力攻击有很大不同。暴力攻击尝试在情境背景或线索的情况下猜测密码，有时按照常规密码设置建议随机套用字符。撞库（凭证填充）利用的是泄露数据，可能正确的答案在数量上得到了精简。

“脱库”和“洗库”

提及“撞库”，就不能不说“脱库”和“洗库”。在黑客术语里面，”拖库“是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为，因为谐音，也经常被称作“脱裤”，360的库带计划，奖励提交漏洞的白帽子，也是因此而得名。在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆，叫做”撞库“，因为很多用户喜欢使用统一的用户名密码，”撞库“也可以使黑客收获颇丰。

“撞库”是一种黑客攻击方式。黑客会收集在网络上已泄露的用户名、密码等信息，之后用技术手段前往一些网站逐个“试”着登录，最终“撞大运”地“试”出一些可以登录的用户名、密码。在“脱库”“洗库”“撞库”三个环节所进行的活动。

撞库漏洞

撞库漏洞是指登录口没有做登录次数限制，导致可以使用不同的用户及密码进行不断的登录尝试，以遍历用户密码，也可以理解为登录爆破。

撞库漏洞有以下几种情况：

1、用户名和密码错误次数都无限制。这种情况是早期比较常见的，可以载入用户名和密码字典对登录口不断进行请求尝试。

2、单时间段内用户的密码错误次数限制。之前有个“锁QQ”的茬儿，说的是QQ登录密码连续错误次数30次，就会被锁定QQ，就有人利用这个问题不断地去锁定别人的QQ。这种方式是基于账号可信认证，密码错误次数存在限制，认证的是账号。所以这种情况也是可以撞库的，只要我们有一个用户名列表，爆破完一个密码还不能登录就换一个用户，或者干脆基于社工库的密码来撞。

3、单时间段内IP登录错误次数限制。比较典型的是Discuz!，就是基于IP来限制登录，当一个IP登录5次后还没有成功登录，则会被禁止该IP登录，不过discuz获取的Client-IP存在绕过的问题。这种防御撞库的手段存在一个误杀的问题，如果出口IP里面还有一个大内网，比如企业网、学校网，这时候就会误杀其他用户。

针对撞库漏洞比较好的解决方案是使用登录验证码和多因素认证，登录验证码有很多种,选择安全的验证方式也很关键,因为目前网络上还有专门提供人工打码的服务平台。

应对措施

用户防范

用户防范撞库

为防止成为撞库攻击的目标，首先要确保您的每个在线帐户都使用了高强度的唯一密码进行保护。密码应包含至少16个字符，并包含大小写字母、符号和数字的组合。可以使用密码生成器来帮助创建高强度密码。密码生成器是免费的在线工具，可随机生成一串字符作为密码。

生成的密码不容易记住，因此最好将它们存储在密码管理程序中。密码管理程序可帮助您存储和管理所有密码，只需记住一个高强度的主密码即可访问您的其余凭据。

作为额外的安全措施，应尽可能启用多步验证。多步验证有助于保护在线帐户免遭未经授权的用户入侵。启用多步验证可以降低成为撞库攻击受害者的风险，因为即使攻击者能够获得您的用户名和密码，他们也无法在没有您独有的额外身份验证形式的情况下进入。

企业防范撞库

为防止组织发生撞库，首先应使用高强度密码保护员工的帐户，并强制使用多步验证。确保员工遵循密码最佳做法的最佳方式是采用企业密码管理程序。

企业密码管理程序可让IT管理员全面了解员工在密码方面的做法。密码管理程序还可帮助IT管理员强制实施密码安全策略，例如强制实施最短密码长度要求，以及要求在支持的情况下使用多步验证。通过使用集中式密码管理解决方案，组织可以确保采取了必要的预防措施，以防止发生可能导致员工帐户泄露的撞库攻击。

技术防范

一种有效的缓解措施是实施和鼓励使用多因素身份验证（MFA）。尽管一些自动网络钓鱼和帐户接管工具可以绕过MFA，但这些攻击需要更多资源，而且比凭证填充更难集体实施。

由于多因素身份验证在一定程度上会影响用户体验，所以许多组织只是建议用户启用而不中华人民共和国强制执行法。如果觉得对所有用户账号强制执行多因素身份验证太过影响业务，折衷方案是为确定面临更大风险的用户自动启用它，例如，在他们的账户遭遇大量异常的登录尝试失败后。很多大型企业已经开始主动监控公共数据转储，并检查受影响的电子邮件地址是否也存在于他们的系统中。对于在他们的服务中找到的此类帐户，即便其是在其他地方遭到的入侵，他们也会强制重置密码并强烈建议启用多因素身份验证。

想要监控员工使用工作电子邮件设置的帐户是否受到外部漏洞影响的公司，可以使用HIBP等服务为其整个域名设置警报。HIBP的公共API甚至被用于开发各种编程语言的脚本，这些脚本可以集成到网站或移动应用程序中。最后，密码卫生应该成为任何公司员工安全意识培训的一部分。密码重用是导致凭证填充攻击的重要原因，因此无论是在工作中还是在家里，都应强烈反对这种做法。

用户可以使用密码管理器为每个在线帐户生成唯一且复杂的密码。如果在公共数据转储中检测到用户的电子邮件地址，其中一些应用程序甚至会自动通知用户。

法律法规

国外法规

防止暴力攻击的有效方法是使用由多个字符组成的强密码，包括大写字母、数字和特殊字符。但是密码强度不能防止撞库（凭证填充）。密码的强弱无关紧要–如果密码在不同的帐户之间共享，那它依然会受损于凭证填充。

自欧盟《通用数据保护法案》GDPR生效以来，世界各国监管机构对于数据保护都表现的极为重视，甚至出现了多起巨额罚款事件。GDPR提出，个人数据泄露是指“由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问”。所以，即使是使用已泄露数据进行凭证填充攻击，但是企业自身的安全防护工作没有能够避免被未经授权的访问，也属于违规的一种。

同时，美国《健康保险携带和责任法案》（HIPAA）也规定“以HIPAA隐私规则所不允许的方式获取、访问、使用或披露个人医疗信息，等于损害安全性或隐私。”即使被非法访问的数据是被加密的，但是系统和数据受到了未经授权的攻击，也属于HIPAA隐私权规则所不允许的披露。2018年，信用评级公司穆迪（约翰·穆迪）将“网络安全风险”纳入现有信用评级标准，受评者承受网络攻击的能力将被量化，融入最终的评级结果中。信用评级广泛影响到投资者在选择投资对象时所考虑的风险评估以及投资决定。对上市企业来说，重新考虑其网络安全和合规性方法，尤其是随着法规变得越来越难以遵守。不仅如此，针对特定的行业，也将面对更多不同的处罚规定。

中国法规

法益内容

第一，侵犯个人信息权。通过网络撞库手段所获取的账号密码具有强烈的人身识别属性。例如，行为人利用自编程序盗取的用户信息中除了账户基本的用户账号密码、姓名、性别、邮箱、电话号码等身份认证信息之外，还储存有个人的身份证号码和积分等个人信息。个人信息是个人隐私的数据化体现。网络撞库行为造成的最直接的法益侵害后果就是对个人隐私权的侵犯。个人信息，尤其是个人财产信息的泄露，对于用户的个人征信情况会产生不可逆转的恶劣损害，甚至打乱用户原本的经济计划，导致用户后续信用生活偏离正常秩序进行。

第二，损害网络安全秩序。根据《中华人民共和国网络安全法》第1条的规定，网络安全是指“网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益”。网络撞库行为对于网络安全的侵害更是不容小觑：其一，网络撞库行为入侵网站后台，恶意盗取大量用户账号信息，破坏网络平台信息安全管理秩序，使得网络信息安全管理面临巨大的风险；其二，行为人利用打码软件与所获账号密码信息，批量尝试登录其他网站的行为，也对该网站正常的运行秩序造成了侵扰，其利用软件绕过验证码的“打码”行为更是对该网站的系统安全产生了威胁。

罪名界定

一是网络撞库行为不构成非法获取计算机信息系统数据罪。该罪针对的是“数据”，但相对的不能将所有以网络为载体储存、传播的信息都解释为“数据”，而是需要对这些信息是否存在对个人、社会的法律意义进行判断。[11]有观点认为：“非法获取计算机信息系统数据罪应局限于以数据为对象，以数据安全为保护法益的犯罪，而不包括以数据为媒介、工具侵犯传统法益的犯罪。”[12]数据的盗取和匹配并非是网络撞库行为的目的，而是为了获取能够认证身份信息的账号密码，对数据的获取和使用只是非法获取公民个人信息的手段行为。同时，网络撞库行为中涉及的账号密码不单纯是涉密的数据，而是能够对于特定的公民个人进行身份识别，会对公民个人信息权和隐私权造成侵害。非法获取计算机信息系统数据罪只是数据安全犯罪的一般性条文，仅是数据安全或是网络安全管理秩序并不能够将网络撞库行为对个人权益的侵害内容予以充分评价。

二是，网络撞库行为应当单独评价为侵犯公民个人信息罪。第一，在数字社会背景下，对数据的盗取也不仅仅只代表着网络安全秩序本身，数据犯罪的侵害最终落位于个人权益的损失。网络撞库行为的对象是能够进行身份识别的账号密码，因账号密码的身份关联性，所导致的犯罪结果也指向特定公民的个人财产权和人身权利地位侵害。[13]网络撞库行为实质是以网络数据为媒介，造成对公民个人信息权的法益侵害，应当评价为侵犯公民个人信息罪。第二，如上文所述，公民个人信息属于数据的一种，二者属于特殊与一般的关系，当使用特殊法条能够对犯罪事实进行充分评价的情况下，就应优先适用特殊法条的规定。因此，将网络撞库行为的犯罪对象限定为具有身份识别性质的账号密码，其侵犯的法益内容能够为个人信息权所完全涵盖的情况下，将网络撞库行为认定为侵犯公民个人信息罪更为合理。

获利行为的罪数

网络撞库行为的司法认定不仅是对网络撞库行为本身的刑法性质进行评价，还要涉及整个依据网络撞库技术手段支撑的网络黑色产业链的罪数认定问题。网络撞库行为从操作上可被划分如下为三个部分：第一，行为人入侵网站的后台批量获取用户信息的行为；第二，行为人将这些用户数据链向其他网站撞库以筛选匹配账户的行为；第三，后续牟利的行为。如果仅是网络撞库行为本身则毫无疑问的以侵犯公民个人信息罪论处，而当网络撞库作为技术手段与相关下游犯罪共同出现的情况，在司法实践中认定更为复杂，存在数罪并罚、牵连犯和吸收犯等不同处理的情况。