달력

4

« 2020/4 »

  •  
  •  
  •  
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  •  
  •  


 

 

크리덴셜(Credential)

·         ID, PW 같은 로그인 정보 개인 신상과 관련해 암호화한 정보까지 폭넓게 의미합니다.

·         크리덴셜은 사용자가 본인을 증명하는 수단으로서의 의미를 가집니다.

 

 

 

 

 

크리덴셜 스터핑(Credential stuffing)

·         공격자가 이미 확보한 크리덴셜(Credential) 다른 계정들에 마구 집어 넣는(stuffing) 방식으로 사용자 정보를 침해하고 공격하는 것을 가리킵니다.

·         웹사이트에서 훔친 로그인 정보를 다른 웹사이트에 무차별 대입(brute-force)하는 자동화 시스템입니다.

·         하나의 계정 정보가 다른 계정 정보와도 일치할 것을 노린 공격 프로세스입니다.

·         사용자가 동일한 크리덴셜을 다중의 웹사이트에서 사용한다는 사실을 파악하여 계정 탈취를 쉽게 자동화할 있고 추후 많은 계정을 공격하는 데도 활용되어집니다.

·         만약 어떤 사람이 동일한 비밀번호를 여러 계정에서 함께 사용하고 있거나 예전에 사용했던 비밀번호를 다시 사용하고 있다면, 언제 어디서 유출됐을지 모를 크리덴셜을 통해 공격자가 여러 계정에 사람의 비밀번호를 대입해 공격하다면 공격에 성공할 가능성이 매우 높아지게 됩니다.

 

 

https://en.wikipedia.org/wiki/Credential_stuffing

https://www.owasp.org/index.php/Credential_stuffing

 

 

 


 


Posted by codedragon codedragon

댓글을 달아 주세요