クレデンシャルスタッフィングとパスワードスプレーの違いは何ですか？

• 資格情報の詰め込み-複数のユーザー名とパスワードに関連付けられていることがわかっているものを使用して、複数のサイトにアクセスしようとします。
• パスワードスプレー-ユーザー名のリストといくつかの一般的なパスワード（ユーザー名が送信されたユーザーによって使用されたことは知られていない）を使用して、1つのサイトにアクセスしてアクセスする

主な違いは、パスワードがアカウントに関連付けられていることがわかっているかどうか、および攻撃が単一のサイトまたは複数のサイトへのアクセスを目的とするかどうかです。

• クレデンシャルスタッフィング-少なくとも1つのアプリケーションが危険にさらされている場合に、ユーザーが異なるアプリケーション間で同じパスワードとユーザー名の組み合わせを再利用することに依存するタイプの攻撃です。 例：StackExchangeが侵害され、私のアカウントとパスワードが漏洩したと言います。次に、攻撃者はMeowCatという名前のユーザーを他のソーシャルメディアサイトで検索し、侵害されたStackExchangeサイトから入手した漏えいしたパスワードを試すことができます。
• パスワードスプレー-は、ブルートフォース「dictionary」攻撃の一種であり、主にアカウントがロックアウトされたアプリケーションで使用されます不正なログイン試行の設定回数。パスワードスプレーでは、既知/不明（推測）のユーザー名を使用し、非常に一般的なパスワードを少量試行して、ロックされないようにします。 例：5回の誤った推測の後にプログラムがアカウントをロックした場合、5回誤って推測した場合、たとえ正しいパスワードを取得したとしても、推測を続けても意味がありません。アクセス権を取得します。これが、パスワードスプレーが任意のアカウントに対して最も一般的な5つのパスワード（この場合）のみを試行し、別のアカウントに移動する理由です（ただし、通常は4のみを使用し、5は使用しないため、サイトが疑わしい場合があります。すべてのユーザーがロックアウトされています）。

私は皆がそれを明確にしたと思います、私はフィールドで実際的な例を挙げています。

資格情報の詰め物

この種の攻撃は、公開されたソース（悪質なWebサイト、ハッキングなどによって公開されたもの）から取得した漏えいしたアカウント資格情報を通じて開始されます。 私は捕らえられた 研究者がダウンロードするために公開されたアカウントの巨大なデータベースを持っています。

攻撃者は、攻撃を開始するために、スクリプトを使用して、公開されたユーザーの資格情報をざっと目を通し、ソーシャルネットワークや重要なサービスプラットフォームに対してそれを使用してアクセスを試みます。たとえば、攻撃者がWebサイトXYZの漏えいしたパスワードのリストを取得し、ユーザー "JoeTiger"がパスワード "Meow @ 1234 @ 7890"を使用しているとします。攻撃者はこの情報を使用して、ユーザー名を含む一連のアカウント名を作成します。同じパスワードでjoetiger @ gmail.com、joetiger @ yahoo.comなど。

次に、攻撃者はこの生成されたユーザー名（および上記のパスワード）を使用して、すべての潜在的なWebサービスアカウント（例：ユーザーがこれらのサービスを使用していない場合でも、Amazon、Gmail、Linkedin、Netflix、Quara、Quickenなどのパスワード「Meow @ 1234 @ 7890」を使用します。

パスワードスプレー

この種の攻撃は、アカウントに対して最も頻繁に使用されるパスワード 10,000の最も一般的なパスワード を使用しています。攻撃を開始するために、攻撃者はアクティブな電子メールアドレスリスト（これはdarknet /ハッキング/公開されたシステムからダウンロードできます）を取得するだけで、すべてのアカウントリストに対してパスワードを総当たり/循環させるスクリプトを使用します。アクセスを取得します。

有効性Amazon、Googleなどの著名なWebサービスはログイン制限を課しているため、このようなサービスに対してブルートフォース攻撃が実行される可能性は低くなっています。即時ログイン制限のブロックを防ぐため。これらの攻撃は、主に感染したマシンから実行されます。つまり、攻撃を拡散させるために Botnet です。