浅谈撞库防护策略

2014，12306遭遇撞库攻击，13万数据泄露；2015，乌云网上爆出网易邮箱过亿用户数据因为撞库泄露；数据泄露愈演愈烈，撞库登陆成为网站的一大安全威胁，今天小编就和你们探讨一下如何才可以有效的防止撞库攻击。俗语知己知彼，百战不殆，小编在网上找了个撞库教程整理给你们看看，了解黑客是如何撞库的。

首先找到一个目标网站，随便输入一组用户名和密码，测试其验证码是否能够被绕过。

密码是明文的，提交了正确的验证码，repeater一下

回显是帐号和密码错误，再repeater一下，仍是显示帐号和密码错误。说明验证码不用再次请求，能够直接进行撞库。

设置彩虹表。

开始撞库，分分钟1000+可用用户名和密码就到手了。

是的，咱们就是这样不知不觉就暴露了。

固然不是全部的网站都可以如此轻松被撞库，说明这个网站的安全性作的真的很差。

撞库是什么？

黑客经过收集互联网已泄露的拖库信息，特别是注册用户的用户名和密码信息，生成对应的字典表。经过恶意程序和字典表批量尝试登陆其余网站，获得一系列可用的真实用户信息。

撞库成功的缘由是什么呢？

1. 广大网络用户为了方便记忆，全部网站都使用同一套用户名和密码。

1. 网站登陆的安全措施不够。

撞库的危害是什么呢？

1. 就企业而言保护用户的信息安全是基本责任之一，泄露用户信息会缺失公信力，损毁公司品牌形象。

1. 就我的而言小则骚扰电话每天有，大则我的财产不知去向。

撞库这么大的危害，做为企业和网站主应该如何防止撞库攻击呢？

经过上面的例子咱们能够发现，阻止撞库登陆就是要让黑客不可以使用脚本程序进行批量登陆。经常使用的方法有如下几种：

 限制同一个IP的请求次数和请求频率

这是一种方法，可是因为IP代理的存在，做用也不是特别大。

使用cookie，flash cookie以及帆布指纹等方法

目前也是有许多网站在使用这种策略，有必定的做用，可是也是能够被清除掉的。

添加验证码

固然不能用上例网站中的验证码和验证机制，像这样，没什么用。

为何没用呢？

1. 验证机制，请求一次以后能够直接绕过。

1. 就算每一次登陆都须要请求验证码，这种验证码的安全性也低，很容易被识别。

• 
  

有别于上例中的验证码，极验推出基于行为式验证技术的验证码，从如下三点解决验证码被绕过的问题。

1. 咱们利用机器学习，深度学习对人的行为特征进行了大量的分析。创建了安全模型去区分人与机器程序。

• 经过模型分析，红色是恶意程序，绿色是正经常使用户，咱们能够清晰的分辨出来，说明人与机器程序在网络世界的行为是具备很大的差距的。

1. 动态更新，当网站出现可疑状况时咱们可以最快速的进行全网的验证模型更新。

1. 用深度学习构建的神经网络是能够不断的自主学习的，在不断的验证过程当中不断的学习新的特征分析，一直在进步的网络。

通常状况下网站都会采用以上三种策略组合的方式来抵御撞库攻击，能不可以防得住，验证码起了很关键的做用。

固然还有一些其余高级一些的防护方式

进行生物特征识别，也就是说不使用咱们传统的密码了，固然这是任重而道远的一件事情；

使用手机验证码，性价比不高，物理因素的影响会很大，还有就是接码平台的存在也严重威胁其安全性；

对用户设置密码进行限制和更高级的算法加密，以及对用户的登陆环境进行监测等，可是这对不少的企业和网站来讲，实现起来是有难度的。

因此使用验证码是目前防止网站被撞库攻击性价比最高的方法，简单而容易实现，可是咱们应该选择安全性高的验证码，否则形同虚设，没有实质性的做用。