Credential stuffing — массовое воспроизведение утёкших пар логин/пароль — одна из самых частых атак на эндпоинты входа. Вот как обнаружить и остановить её, не блокируя реальных пользователей.
Как выглядит атака
Атакующие берут дампы учётных данных и автоматизируют попытки входа по множеству аккаунтов, обычно распределяя запросы по прокси, чтобы обойти лимиты по IP. Большинство попыток проваливаются; немногие успешные ведут к захвату аккаунта.
Сигналы детекции
- Velocity: много попыток входа по разным аккаунтам с одного фингерпринта или ASN — даже когда IP ротируются.
- Сетевой фингерпринт: стеки автоматизации (JA4/QUIC), не совпадающие с реальными браузерами. См. JA4 простыми словами.
- IP-аналитика: выходы дата-центр/прокси/VPN и ASN с плохой репутацией.
- Паттерны провалов: аномальные доли неудачных входов.
Почему лимиты по IP не работают
Атакующие распределяют трафик по сетям резидентных прокси, поэтому каждый запрос это «новый» IP. Вместо этого ограничивайте по фингерпринту и ASN/префиксу — см. стратегии ограничения скорости.
План реагирования
- Высокая уверенность бота: блок или жёсткий троттлинг попытки входа.
- Средний риск: усиление тихим челленджем или 2FA.
- Обнаружены скомпрометированные данные: принудительный сброс и уведомление.
detectip.ai даёт объяснимый вердикт + действие на вызове входа, чтобы вы применяли правильную реакцию на каждую попытку.
FAQ
Нужно ли менять систему аутентификации? Нет — добавьте проверку риска перед обработкой входа.
Как не блокировать реальных пользователей? Усиливайте верификацию для среднего риска; блоки оставляйте для уверенной автоматизации. Начните бесплатно с ключом.