极验验证安全大牛谈撞库

动态 作者:极验验证 2016-07-19 09:10:23
近日,大麦网遭遇撞库,导致39位用户被骗,直接经济损失高达147万元。 大家纷纷惊觉,撞库是什么?居然这么可怕。   1 其实一直以来,撞库的危害都存在,撞库导致的数据泄露并非只此一家,之前有12306被撞库,泄露10万条用户数据,后又有网易邮箱遭遇撞库,过亿邮箱数据泄密。那么撞库到底是什么呢?怎么防御撞库呢? filehelper_1468916590595_ 小验验带着满腔的困惑咨询了极验验证的安全技术大牛极小验。   小验验: 大牛,撞库是什么呢?   极小验: 撞库是黑客攻击网站,获取用户隐私信息的一种技术手段。黑客通过收集互联网已泄露的信息,特别是已注册用户的用户名和密码信息,生成对应的字典表。通过自动化脚本程序和字典批量尝试登录其他大型网站,得到一系列可用的真实用户信息。   小验验: 互联网已泄露的信息是怎么来的呢?   极小验: 信息泄露的来源有很多,比如说有的小网站安全措施不是很到位有很多的漏洞,很容易就被黑客用SQL注入等手段获得数据库信息;还比如说黑客会通过钓鱼网站,木马链接来骗取用户信息。通过已经有的用户信息,包括用户名和密码,以及电话号码等,会有人专门将这些信息搜集起来,整理成一份文件,也就是字典。   小验验: 黑客有了字典就能够撞库成功了吗?   极小验: 当然不是,有了字典还必须要满足两个条件才能够撞库成功。极小验我先问你一个问题,你在网上注册的时候,各个网站是不是都用一套或者两套相同的用户名和密码呀?   小验验: 是呀是呀,我比较懒,为了方便记忆,所以很多网站的用户名和密码都是一样的。   极小验: 这就是了,大部分的网友跟你的情况是一样的,注册的很多网站都用同样的用户名和密码,那如果某个小网站被拖库了,你的用户名和密码泄露了,那黑客就可以拿着这一套用户名和密码去登录你注册过的其他网站,获取更多你的隐私甚至是财产信息。   小验验: 太可怕了,那另一个条件是什么呢?   极小验: 你想啊,黑客虽然有字典表,但是他并不知道你这一套用户名和密码注册过哪些网站对不对,那他只能够去尝试登录。手动的尝试登录太慢,黑客们会利用恶意程序自动批量尝试登录。如果网站可以阻止黑客的批量尝试登录,那黑客的撞库计划不就不能成功了吗?   小验验: 那有什么方法可以防止撞库呢?   极小验: 防御撞库我们需要从两方面入手 一方面是我们广大的用户们要尽量避免所有的网站、应用都使用同一套用户名和密码。建议大家可以使用三套及以上用户名和密码。将我们注册的网站和应用分为三个等级,一类是在只会涉及一些无足轻重信息的小网站使用,一类是在会涉及社交信息以及电话号码的网站和应用使用,最后一类则是在涉及身份证以及财产信息的网站及应用使用。这样也不会太杂乱,难以记忆又能够比较好的保护自己的信息。   第二方面就是作为企业我们有责任有义务去保护用户的信息安全,要从技术上面防止撞库攻击。企业防止撞库,其实无非就是防止黑客通过恶意程序批量尝试登录。 具体方法 1.    可以限制同一个IP的请求次数,但是由于IP代理技术的发展,这样做显得有些无力。 2.    使用cookie,flash cookie以及帆布指纹等方法 ,也是目前很多网站都会使用的方法,但是cookie也有可能通过技术手段清除掉。 3.    定期强制用户更换密码,或者使用独特的密码设计。 4.    在登录模块使用反图灵测试,也就是验证码,进行人机识别,防止恶意程序批量尝试登录。   但是传统的验证码并不安全,因为图像识别技术的发展,原来的验证码也能够轻易的被黑客通过脚本程序识别,并且速度快,准确率高,根本不具备保护网站的作用。   极验也正是因为传统的验证码不安全,才提出行为式验证技术,利用深度学习,机器学习等技术手段,对人和机器的网络行为进行分析,来判别人机。这种验证方式利用的是人和程序行为上的区别,程序要完全模拟人类的行为还非常遥远。   在现阶段,网站以及应用要防止撞库,使用极验的验证码是性价比最高的方法。 3 小验验结语 防守往往比攻击难,黑客只需要找到一个漏洞就能够发起攻击,而我们做安全却要保证百分之百。我们每一个企业都要尽全力保障用户信息安全,但是我们每个企业却不必苛责自己十项全能。闻道有先后,术业有专攻,专业的黑客就交给专业的防守来做,而极验一直专注于验证安全领域,我们愿意携手每一个企业做好验证安全,抗击黑产,保障用户的信息安全。 5   660x330  

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接