クレデンシャルスタッフィング攻撃を防ぐためのアプリケーションセキュリティ戦略を
作成する場合、2 種類のユーザに対応する必要があります。企業従業員は、多要素認証
(MFA)などの面倒なプロセスでも進んで受け入れる、または少なくともこれに従います。
しかし、電子商取引または小売業の顧客は、ログインプロセスが複雑になることを受け入れ
たがりません。このように従業員と一時的なユーザの両方を守る方法があります。

ボットを防ぐことが適切なソリューション

強力なWebアプリケーションファイアウォール(WAF)は、クレデンシャルスタッフィング
攻撃に対する最初の対策です。フル装備のWAF は高度なボット検知および対策機能を
提供でき、ほとんどの攻撃で自動化プログラムが利用されているためこれは重要です。

WAF は、振る舞い、ブラウザまたはデバイスの能力、リクエストの異常、1 秒あたりの
接続試行数を分析できるので、セキュリティ チームがブラウザ以外によるログイン試行を
特定する上で役に立ちます。さらに、シグネチャ マッチングを使用することで、
悪意のないボット(検索エンジン ボットなど)がサイトにアクセスできるように、
ホワイトリストを簡単に作成できます。