크리덴셜(Credential), 크리덴셜 스터핑(Credential stuffing)

 

 

크리덴셜(Credential)

·         ID, PW와 같은 로그인 정보 등 개인 신상과 관련해 암호화한 정보까지 폭넓게 의미합니다.

·         크리덴셜은 사용자가 본인을 증명하는 수단으로서의 의미를 가집니다.

 

 

 

 

 

크리덴셜 스터핑(Credential stuffing)

·         공격자가 이미 확보한 크리덴셜(Credential)을 다른 계정들에 마구 집어 넣는(stuffing) 방식으로 사용자 정보를 침해하고 공격하는 것을 가리킵니다.

·         한 웹사이트에서 훔친 로그인 정보를 다른 웹사이트에 무차별 대입(brute-force)하는 자동화 시스템입니다.

·         하나의 계정 정보가 다른 계정 정보와도 일치할 것을 노린 공격 프로세스입니다.

·         사용자가 동일한 크리덴셜을 다중의 웹사이트에서 사용한다는 사실을 파악하여 계정 탈취를 쉽게 자동화할 수 있고 추후 더 많은 계정을 공격하는 데도 활용되어집니다.

·         만약 어떤 사람이 동일한 비밀번호를 여러 계정에서 함께 사용하고 있거나 예전에 사용했던 비밀번호를 다시 사용하고 있다면, 언제 어디서 유출됐을지 모를 크리덴셜을 통해 공격자가 여러 계정에 그 사람의 비밀번호를 대입해 공격하다면 공격에 성공할 가능성이 매우 높아지게 됩니다.

 

 

https://en.wikipedia.org/wiki/Credential_stuffing

https://www.owasp.org/index.php/Credential_stuffing