撞库攻击利用从其他网站泄露的账号密码,尝试登录目标网站(因为用户常在多个网站使用相同密码)
1. 攻击者获取泄露的凭证库
(来自其他网站的数据泄露)
↓
2. 批量尝试登录目标网站
email: alice@example.com
password: alice123
↓
3. 如果用户使用相同密码
→ 撞库成功,账户被盗
使用泄露凭证批量尝试登录
攻击演示限流、验证码、异常检测
防护方案尝试次数: 0
成功次数: 0
被拦截: 0
成功率: 0%
| 原因 | 数据 |
|---|---|
| 密码重复使用 | 65% 用户在多个网站使用相同密码 |
| 弱密码 | Top 10 密码占所有密码的 10% |
| 数据泄露频繁 | 每年数十亿条凭证泄露 |
| 自动化工具 | 每秒可尝试数千次 |