• 凭据填充 - 使用一组已知与其相关联的用户名和密码来尝试访问多个站点
• 密码喷洒 - 使用用户名列表和一些常用密码（不知道已被发送用户名的人使用）来尝试访问单个站点

关键区别在于密码是否已知与帐户相关联，以及攻击的目的是访问单个站点还是多个站点。

• Credential Stuffing - 是一种攻击类型，它依赖于用户在不同的应用程序中重复使用相同的密码和用户名组合，其中至少有一个应用程序受到损害。例如：假设 StackExchange 遭到入侵，我的帐户和密码泄露。然后，攻击者可以在其他社交媒体网站上搜索名为MeowCat的用户，并尝试他们从受感染的 StackExchange 网站获得的泄露密码。
• Password Spraying - 是一种暴力“字典”攻击，主要用于在一定次数的错误登录尝试后帐户被锁定的应用程序。密码喷射使用已知/未知（猜测的）用户名，并尝试少量非常常见的密码，这样它们就不会被锁定。例如：如果一个程序在5次猜错后锁定了一个账号，那么如果你猜错了5次，那么继续猜就没有意义了，因为即使你得到了正确的密码，你也无法访问。这就是为什么密码喷雾最多只会尝试任何帐户的 5 个最常见的密码（在这种情况下）并转移到另一个帐户（尽管他们通常只会使用 4 而不会使用 5，因为如果出现以下情况，网站可能会变得可疑）他们的所有用户都被锁定）。

我想大家都说清楚了，我只是在给出现场的实际例子。

凭证填充

这种攻击是通过从暴露的来源（例如，由不良网站暴露、黑客攻击等）获取的泄露帐户凭据开始的。如果我被 pwned拥有大量暴露帐户的数据库供研究人员下载。

为了发起攻击，攻击者只需使用脚本浏览那些暴露的用户凭据，并尝试将其用于任何社交网络或重要服务平台以获得访问权限。例如，攻击者获取网站 XYZ 的泄露密码列表，其中用户“JoeTiger”使用密码“Meow@1234@7890”。然后，攻击者只需使用此信息构造一系列具有用户名的帐户名，例如 joetiger@gmail.com、joetiger@yahoo.com 等，并使用相同的密码。

然后攻击者将使用这个生成的用户名（和提到的密码）并尝试使用密码“Meow@1234@7890”登录所有潜在的网络服务帐户，例如 Amazon、Gmail、Linkedin、Netflix、Quara、Quicken 等，即使用户可能不使用这些服务。

密码喷涂

这种攻击是使用最常用的密码来攻击帐户10,000 个最常用的密码。要发起攻击，攻击者只需获取任何活动的电子邮件地址列表（这可以从暗网/黑客/从暴露系统下载），然后他们使用脚本对所有帐户列表进行暴力破解/循环，直到它获得访问权。

有效性 亚马逊、谷歌等著名的网络服务正在实施登录限制，使得暴力攻击不太可能在这些服务上进行。防止立即登录限制阻塞。这些攻击大多是从被感染的机器上进行的，即僵尸网络来传播攻击。

对为什么这两种技术不同的原因进行不同的解释：

• 密码喷射利用密码选择不当

• 密码填充利用密码重用