凭证填充攻击的本质，是一场“寄生虫”游戏。黑客拿着A站泄露的账密，去B站寄生，吃的就是用户跨站复用密码的软肋。只要静态字符串还在流转，撞库就不会停。那么，Passkey（通行密钥）这把号称要干掉密码的手术刀，到底能不能彻底终结这场游戏？ 理论上的“绝对秒杀” 从密码学底层看，Passkey确实具备终结撞库的基因。传统的撞库之所以成立，...

登录防护这件事，企业最常踩的坑不是技术选型，而是“什么都想一步到位”。花大价钱上全量的行为风控、AI建模、设备指纹，结果发现大部分流量其实是正常用户，而攻击者早换了一批手法绕过——钱花出去了，用户体验反倒降了。另一头，预算有限的中小站点直接裸奔，连基本的失败登录日志都没结构化管理，撞库一晚上就能跑出几千个有效账号。成本与收益之间的平衡...

凭证填充不是简单的“密码输错太多次”，而是撞库、代理池、自动化脚本、弱 MFA 和异常会话共同作用的结果。本文整理登录入口的分层防护思路：密码策略、MFA、速率限制、风控日志、会话保护与产品默认安全。