淺談撞庫防護策略

2014年12306遭遇撞庫攻擊,13萬數據泄露;2015年烏雲網上爆出網易郵箱過億用戶數據因爲撞庫泄露;數據泄露愈演愈烈,撞庫登陸成爲網站的一大安全威脅,今天小編就和你們探討一下如何纔可以有效的防止撞庫攻擊。俗語知己知彼,百戰不殆,小編在網上找了個撞庫教程整理給你們看看,瞭解黑客是如何撞庫的。算法

首先找到一個目標網站,隨便輸入一組用戶名和密碼,測試其驗證碼是否能夠被過。
圖片描述安全

密碼是明文的,提交了正確的驗證碼,repeater一下。
圖片描述cookie

回顯是帳號和密碼錯誤,再repeater一下,仍是顯示帳號和密碼錯誤。說明驗證碼不用再次請求,能夠直接進行撞庫。
圖片描述網絡

設置彩虹表。
圖片描述機器學習

開始撞庫,分分鐘1000+可用用戶名和密碼就到手了。
圖片描述學習

是的,咱們就是這樣不知不覺就暴露了。
固然不是全部的網站都可以如此輕鬆被撞庫,說明這個網站的安全性作的真的很差。
撞庫是什麼?
黑客經過收集互聯網已泄露的拖庫信息,特別是註冊用戶的用戶名和密碼信息,生成對應的字典表。經過惡意程序和字典表批量嘗試登陸其餘網站,獲得一系列可用的真實用戶信息。測試

撞庫成功的緣由是什麼呢?
廣大網絡用戶爲了方便記憶,全部網站都使用同一套用戶名和密碼。
網站登陸的安全措施不夠。網站

撞庫的危害是什麼呢?
就企業而言保護用戶的信息安全是基本責任之一,泄露用戶信息會缺失公信力,損毀公司品牌形象。
就我的而言小則騷擾電話每天有,大則我的財產不知去向。加密

撞庫這麼大的危害,做爲企業和網站主應該如何防止撞庫攻擊呢?
經過上面的例子咱們能夠發現,阻止撞庫登陸就是要讓黑客不可以使用腳本程序進行批量登陸。經常使用的方法有如下幾種:
1.限制同一個IP的請求次數和請求頻率
這是一種方法,可是因爲IP代理的存在,做用也不是特別大。spa

2.使用cookie,flash cookie以及帆布指紋等方法
目前也是有許多網站在使用這種策略,有必定的做用,可是也是能夠被清除掉的。flash cookie可能相對要更好一些。

3.添加驗證碼
固然不能用上例網站中的驗證碼和驗證機制,像這樣,沒什麼用。
圖片描述
爲何沒用呢?
a.驗證機制,請求一次以後能夠直接繞過。
b.就算每一次登陸都須要請求驗證碼,這種驗證碼的安全性也低,很容易被識別。
圖片描述
相比較於上例中對於驗證碼的疏忽,不少公司也很重視驗證安全。有一些安全比較高的驗證碼也是有不錯的防範效果的。
極驗驗證碼
enter image description here
利用目前比較火的機器學習以及深度學習建模,分析人和機器的拖動特徵,防止機器腳本的效果是很不錯的。另一點很好的是,基於深度學習構建神經網絡可以較爲快速的學習特徵,有可疑狀況出現可以迅速的進行升級。
漢字驗證碼
enter image description here
漢字驗證碼因爲漢字的複雜性和數量大,圖像識別起來有必定的難度,也算是目前驗證碼中相對安全的一種。不過在用戶體驗上卻不如極驗的那麼好。
通常狀況下網站都會採用以上三種策略組合的方式來抵禦撞庫攻擊,能不可以防得住,驗證碼起了很關鍵的做用。
固然還有一些其餘高級一些的防護方式 進行生物特徵識別,也就是說不使用咱們傳統的密碼了,固然這是任重而道遠的一件事情; 使用手機驗證碼,性價比不高,物理因素的影響會很大,還有就是接碼平臺的存在也嚴重威脅其安全性; 對用戶設置密碼進行限制和更高級的算法加密,以及對用戶的登陸環境進行監測等,可是這對不少的企業和網站來講,實現起來是有難度的。 因此使用驗證碼是目前防止網站被撞庫攻擊性價比最高的方法,簡單而容易實現,可是咱們應該選擇安全性高的驗證碼,否則形同虛設,沒有實質性的做用。

相關文章
相關標籤/搜索