深刻浅出了解撞库攻击！

1. 撞库的原理和危害

“撞库”（Credential Stuffing Attack）在网络安全中是一个古老的概念，按中文的字面意思解读，就是“碰撞数据库”的意思。“碰撞”意味着碰运气，即不必定能成功；而“数据库”中每每存储着大量敏感数据，好比咱们登陆一个网站所须要的用户名、密码，再好比手机号、身份证号等我的隐私信息。“撞库”在英文中的表述为 Credential Stuffing（密码嗅探），也很是直白的说明了撞库的主要场景：试图获取正确的帐号/密码组合，大白话就是“盗号”。

现实中发生的撞库攻击主要是攻击者经过一些自动化工具（如脚本）针对要撞库站点的相关接口（好比登陆接口）批量提交大量的用户名/密码组合，记录下其中能成功登陆的组合并盗取该帐号，为接下来作其余的坏事（好比将银行帐号中的资金转走，或是游戏帐号中的虚拟物品出售，或是盗用他人身份发表一些言论等等）作好准备。

值得注意的是，撞库的目的有2种：

1  盗号并非撞库攻击的惟一目的，
 2 验证某个帐号有没有在一个站点中注册过也是常见的撞库目的。

举个例子，一样是登陆失败，不少站点对于“用户不存在”和“密码错误”会给出明确不一样的两种提示，这意味着我即便不知道你的密码，也能够知道你的手机号有没有在这个站点注册过。知道这个有什么用呢？举个 P2P 行业的例子，假设一个手机号在几十个借贷平台上都注册过，那这个手机号的主人恐怕有着很糟糕的财务情况（多头借贷），贷款给他的风险就很高了。

从攻击目的上区分，撞库有如下几种常见场景：

1. 弱密码嗅探：相似 1111十一、123456 这样的简单密码由于不少人用，用这样的弱口令去试探大量的帐号，就有必定几率能发现一些真正在使用弱密码的帐号。实施这样的攻击通常要求攻击者手上已经掌握了大量的帐号以及常见的弱密码库，固然若是不知道帐号，随机构造一些也是有几率成功的，好比手机号这种格式固定的帐号。
2. 利用拖库数据：这是攻击成功率更高的一种方式，原理是大多数人倾向于在多个站点上使用同一个密码（有多少人淘宝和支付宝的密码是同样的？）。当攻击者成功入侵一个安全防御能力很弱的站点 A，并拿到其数据库的全部用户名密码组合，而后再拿着这些组合去站点 B 尝试，若是你两个站点都注册过而且使用了一样的密码……撞库就成功了。
3. 针对高权限帐号的暴力破解：暴力破解严格来讲跟撞库是两种类型的攻击，但咱们仍是要提一下，由于两者从攻击方法和防御方式的角度来看都差很少。这主要是针对一些高权限帐号（如网站的管理员）用大量密码去试探，想要盗用的帐号目标很是明确。

云上常见的撞库案例

明白了原理，撞库攻击的危害也就很明确了。对我的用户来讲，这会致使我的密码泄露、帐号被盗，进而形成财产或名誉损失；对企业来讲，不只会形成客户信息等商业机密的泄露，还会对企业的声誉和形象形成严重伤害。

2. 撞库攻击现状

撞库离咱们远吗？实际状况如何？根据咱们对阿里云 WAF 流量的分析，分享下面几个数据，不难看出撞库攻击早已日夜相伴于咱们的身边，且已极具规模化、专业化。

• 数字 1：50 万个

这是咱们明确观察到的天天有大量汇集性进行撞库攻击的 IP 量，考虑到还有至关多的攻击场景中使用了秒拨等离散 IP 资源没有被统计进来，天天实际参与撞库攻击的 IP 数量估计还要大 1-2 个数量级。另外值得注意的是，至关一部分攻击源 IP 在 C 段上有汇集性，从咱们观察到的状况来看，天天有 200 多个 C 段（共 256 个连续 IP）中有超过 200 个 IP 实施撞库攻击。

• 数字 2：4.48 亿次

云 WAF 流量中天天检测到的撞库/暴力破解请求量高达 4.48 亿次，这只是天天的数据，由此能够看出撞库这种攻击手法是多么受到黑客的欢迎。

• 数字 3：630 万次

这是某网站一天内被撞库攻击的总请求量。

实际上，咱们观测到在一些撞库攻击的“热门行业”，如 P2P、游戏、区块链、信用卡、电商等，撞库攻击已经在很是成规模的持续进行，这个持续时间可能达数月甚至是终年在跑，与业务相生相伴。而在一些笔者意想不到的行业（好比医美，瞎猜一下攻击意图也许是想经过验证你是否注册过医美类网站来给医美广告提供更精准的投放参考），也发现了大规模的撞库事件。

• 数字 4：83%

从实施撞库攻击的攻击工具来看，83%以上的攻击流量来自简单的脚本，这里的“简单脚本”定义为一些经过最简单的人机识别方式（如 JS 校验）就能检测出的脚本工具，而在这其中 Java Tools 和 Python Requests 是“最有存在感”的两种脚本工具。

不过值得注意的是，近些年随着爬虫技术和相关产业的迅猛发展，“正规军”占比已愈来愈大，这些团伙手中掌握大量的攻击资源和最新的爬虫技术，整个产业链上下游分工精细，协同流畅，普通企业防护起来的难度也在迅速上升。

3. 撞库带来的合规风险

自欧盟隐私法 GDPR 生效以来，世界各国监管对于数据保护极为重视，自 2019 年开始，对泄露的处罚和后果也呈上升趋势。在 GDPR 的第 4 条中提出，我的数据泄露是指“因为违反安全政策而致使传输、储存、处理中的我的数据被意外或非法损毁、丢失、更改或未经赞成而被公开或访问。”

因此，即便是使用已经泄露的数据来进行撞库攻击，可是企业自身的安全防御工做没有可以避免被未经受权的访问，也是违规的一种。美国的健康保险携带和责任法案（HIPAA）也有规定 “以 HIPAA 隐私规则所不容许的方式获取、访问、使用或披露我的医疗信息，等于损害安全性或隐私。”即便被非法访问的数据是被加密的，可是系统和数据受到了未经受权的攻击，所以也属于 HIPAA 隐私权规则所不容许的披露。被撞库的企业为受害者，可是每一个受害者都因自身安全控制不到位而成为这雪球效应中贡献的一分子。

2019 年夏天，信用评级公司穆迪（Moody's）对网络安全的业务影响进行了新的调整，将网络风险归入其信用评级。穆迪根据企业违规而形成的业务影响将上市企业的评级从稳定降至负面。穆迪正在积极将网络风险归入其信用评级，这可能只是第一个倒下的多米诺骨牌。信用评级普遍影响到投资者在选择投资对象时所考虑的风险评估以及投资决定。对上市企业来讲，从新考虑其网络安全和合规性方法，尤为是随着法规变得愈来愈难以遵照。不只如此，针对特定的行业，也将面对更多不一样的处罚规定。

随着近年来物联网设备的爆炸性增加，再加上公共云、容器和 VM 的激增，致使人们对数据流量的可见性广泛缺少，从而大大增长了总体威胁面和公司的漏洞。数据泄露事件不断增长，致使撞库攻击成为近年来经常使用的一种入侵办法。每一次泄露的数据均可能变成下一次入侵的开门匙。

4. 如何防御撞库攻击？

1）我的篇

从我的用户自我保护的角度来讲，咱们给出 4 个建议：

• 尽可能减小在不一样网站使用相同密码。固然，人性的懒惰跟密码机制的安全性自然上就有冲突，大部分人很难作到这一点，据第三方统计，超过
  60%的人依然在多个站点使用同一个密码。
• 使用更复杂的密码。好比请不要再用 12345六、111111 了……
• 按期更换经常使用密码。黑产手里每每掌握大量的“社工库”，里面存储了不少已知的用户名-密码组合，他们可能就包含了你多年前在某网站上使用的组合。所以常常更换密码能够减少社工库信息的有效期。
• 启用更多密码之外的身份验证机制。其实不少安全性好的企业已经在采起一些二次验证、多因素验证之类的最佳实践，如苹果的二次验证、Google
  的身份验证器、支付宝的人脸识别、微信的声纹等，建议我的用户尽量的开启相似的验证机制。

最经常使用的密码前 500 名（来自 Informationisbeautiful）

2）企业篇

从企业的角度来讲，作好帐户安全是很是很是重要且基础的工做，由于帐户很大程度上是业务安全体系的基石，帐号安全一旦失守，只会带来后续更多的问题，补救这些问题须要付出的成本要远远大于作好帐户安全防御自己。固然帐号安全自己是很是复杂的系统工程，这里咱们只是针对撞库这个场景给出一些最佳实践供参考：

• 强制用户密码的强度。

这点很多站点如今已经作得很好了，可是还有至关多的应用容许用户使用 111111 这样的弱密码。同时也特别注意，不要忽略小程序、App 等非网页环境的注册接口。

• 按期强制用户更换密码。

这点主要针对企业内部员工，毕竟记住一个密码已经很痛苦了，这带来的用户体验将会直线降低。

• 在帐户相关接口增强人机防控策略。

这里的接口主要包括登陆、注册、找回密码、获取短信验证码等，“人机防控”指的是将这些接口中“机器”的访问请求和“真实的人”区别出来，在文章开头咱们已经讲过，真实状况下攻击者几乎没有手动实施攻击的状况，若是能将大部分针对帐号的“机器流量”识别出来并拦截，会是安全水位很大的一个提高。从技术手段来讲，常见的有使用图形验证码、封禁高频请求的 IP/会话、部署人机识别的 SDK 组件等等，但采用图形验证码等方式存在用户体验差以及被破解的问题。

• 重要业务流程采用二次验证。

如转帐前经过人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操做来自帐号拥有者。

• 创建业务维度的帐户异常指标监控，并及时处理风险帐号。

区别于“人机”的技术手段，这里主要是从业务角度（好比高频发帖、异常转帐等等），对一些行为上不正常的帐号进行监控和处罚，做为技术防控的补充。

• 借助安全工具作好防撞库攻击。

若是遇到撞库等帐户安全问题的困扰，又没有足够专业的团队或精力来按照上述建议进行对抗，建议选择一款合适的安全工具来应对。通常来讲， 新昕科技的防撞库防火墙产品就能有效应对撞库攻击,而且真正无感。其内置了撞库、短信防轰炸等AI模型，应对帐户注册、登陆、找回密码等场景，作到实时防御，风险大盘能够实时查看，攻防状况尽在掌握。从这个角度来看，对于企业来讲，选择一款功能丰富强大的安全工具每每能够起到事半功倍的效果。

5. 结语

有人的地方就有江湖，有帐号的地方就有撞库。密码制度自己因安全需求而生，却也带来了撞库这类的风险。咱们相信，将来密码会愈来愈多的被其余体验更好、安全性更高的身份校验方式所取代，而这些方式或许又存在隐私、合规相关的问题。最好的方案彷佛永远要在安全、便利、隐私这几个因素之间互相平衡。着眼于当下，用户名/密码的形式依然主导着绝大多数站点的帐号管理方式，所以以撞库攻击为表明的帐号安全问题依然须要引发我的用户和企业的足够重视。但愿本文可以给您带来一些参考和帮助，共同建设更安全的互联网！

本文由博客群发一文多发等运营工具平台 OpenWrite 发布