淺談撞庫防護策略

2014，12306遭遇撞庫攻擊，13萬數據泄露；2015，烏雲網上爆出網易郵箱過億用戶數據因爲撞庫泄露；數據泄露愈演愈烈，撞庫登陸成爲網站的一大安全威脅，今天小編就和你們探討一下如何纔可以有效的防止撞庫攻擊。俗語知己知彼，百戰不殆，小編在網上找了個撞庫教程整理給你們看看，瞭解黑客是如何撞庫的。

首先找到一個目標網站，隨便輸入一組用戶名和密碼，測試其驗證碼是否能夠被繞過。

密碼是明文的，提交了正確的驗證碼，repeater一下

回顯是帳號和密碼錯誤，再repeater一下，仍是顯示帳號和密碼錯誤。說明驗證碼不用再次請求，能夠直接進行撞庫。

設置彩虹表。

開始撞庫，分分鐘1000+可用用戶名和密碼就到手了。

是的，咱們就是這樣不知不覺就暴露了。

固然不是全部的網站都可以如此輕鬆被撞庫，說明這個網站的安全性作的真的很差。

撞庫是什麼？

黑客經過收集互聯網已泄露的拖庫信息，特別是註冊用戶的用戶名和密碼信息，生成對應的字典表。經過惡意程序和字典表批量嘗試登陸其餘網站，獲得一系列可用的真實用戶信息。

撞庫成功的緣由是什麼呢？

1. 廣大網絡用戶爲了方便記憶，全部網站都使用同一套用戶名和密碼。

1. 網站登陸的安全措施不夠。

撞庫的危害是什麼呢？

1. 就企業而言保護用戶的信息安全是基本責任之一，泄露用戶信息會缺失公信力，損毀公司品牌形象。

1. 就我的而言小則騷擾電話每天有，大則我的財產不知去向。

撞庫這麼大的危害，做爲企業和網站主應該如何防止撞庫攻擊呢？

經過上面的例子咱們能夠發現，阻止撞庫登陸就是要讓黑客不可以使用腳本程序進行批量登陸。經常使用的方法有如下幾種：

 限制同一個IP的請求次數和請求頻率

這是一種方法，可是因爲IP代理的存在，做用也不是特別大。

使用cookie，flash cookie以及帆布指紋等方法

目前也是有許多網站在使用這種策略，有必定的做用，可是也是能夠被清除掉的。

添加驗證碼

固然不能用上例網站中的驗證碼和驗證機制，像這樣，沒什麼用。

爲何沒用呢？

1. 驗證機制，請求一次以後能夠直接繞過。

1. 就算每一次登陸都須要請求驗證碼，這種驗證碼的安全性也低，很容易被識別。

• 
  

有別於上例中的驗證碼，極驗推出基於行爲式驗證技術的驗證碼，從如下三點解決驗證碼被繞過的問題。

1. 咱們利用機器學習，深度學習對人的行爲特徵進行了大量的分析。創建了安全模型去區分人與機器程序。

• 經過模型分析，紅色是惡意程序，綠色是正經常使用戶，咱們能夠清晰的分辨出來，說明人與機器程序在網絡世界的行爲是具備很大的差距的。

1. 動態更新，當網站出現可疑狀況時咱們可以最快速的進行全網的驗證模型更新。

1. 用深度學習構建的神經網絡是能夠不斷的自主學習的，在不斷的驗證過程當中不斷的學習新的特徵分析，一直在進步的網絡。

通常狀況下網站都會採用以上三種策略組合的方式來抵禦撞庫攻擊，能不可以防得住，驗證碼起了很關鍵的做用。

固然還有一些其餘高級一些的防護方式

進行生物特徵識別，也就是說不使用咱們傳統的密碼了，固然這是任重而道遠的一件事情；

使用手機驗證碼，性價比不高，物理因素的影響會很大，還有就是接碼平臺的存在也嚴重威脅其安全性；

對用戶設置密碼進行限制和更高級的算法加密，以及對用戶的登陸環境進行監測等，可是這對不少的企業和網站來講，實現起來是有難度的。

因此使用驗證碼是目前防止網站被撞庫攻擊性價比最高的方法，簡單而容易實現，可是咱們應該選擇安全性高的驗證碼，否則形同虛設，沒有實質性的做用。