浅谈撞库防护策略

2014年12306遭遇撞库攻击，13万数据泄露；2015年乌云网上爆出网易邮箱过亿用户数据因为撞库泄露；数据泄露愈演愈烈，撞库登陆成为网站的一大安全威胁，今天小编就和你们探讨一下如何才可以有效的防止撞库攻击。俗语知己知彼，百战不殆，小编在网上找了个撞库教程整理给你们看看，了解黑客是如何撞库的。

首先找到一个目标网站，随便输入一组用户名和密码，测试其验证码是否能够被过。

密码是明文的，提交了正确的验证码，repeater一下。

回显是帐号和密码错误，再repeater一下，仍是显示帐号和密码错误。说明验证码不用再次请求，能够直接进行撞库。

设置彩虹表。

开始撞库，分分钟1000+可用用户名和密码就到手了。

是的，咱们就是这样不知不觉就暴露了。
固然不是全部的网站都可以如此轻松被撞库，说明这个网站的安全性作的真的很差。
撞库是什么？
黑客经过收集互联网已泄露的拖库信息，特别是注册用户的用户名和密码信息，生成对应的字典表。经过恶意程序和字典表批量尝试登陆其余网站，获得一系列可用的真实用户信息。

撞库成功的缘由是什么呢？
广大网络用户为了方便记忆，全部网站都使用同一套用户名和密码。
网站登陆的安全措施不够。

撞库的危害是什么呢？
就企业而言保护用户的信息安全是基本责任之一，泄露用户信息会缺失公信力，损毁公司品牌形象。
就我的而言小则骚扰电话每天有，大则我的财产不知去向。

撞库这么大的危害，做为企业和网站主应该如何防止撞库攻击呢？
经过上面的例子咱们能够发现，阻止撞库登陆就是要让黑客不可以使用脚本程序进行批量登陆。经常使用的方法有如下几种：
1.限制同一个IP的请求次数和请求频率
这是一种方法，可是因为IP代理的存在，做用也不是特别大。

2.使用cookie，flash cookie以及帆布指纹等方法
目前也是有许多网站在使用这种策略，有必定的做用，可是也是能够被清除掉的。flash cookie可能相对要更好一些。

3.添加验证码
固然不能用上例网站中的验证码和验证机制，像这样，没什么用。

为何没用呢？
a.验证机制，请求一次以后能够直接绕过。
b.就算每一次登陆都须要请求验证码，这种验证码的安全性也低，很容易被识别。

相比较于上例中对于验证码的疏忽，不少公司也很重视验证安全。有一些安全比较高的验证码也是有不错的防范效果的。
极验验证码

利用目前比较火的机器学习以及深度学习建模，分析人和机器的拖动特征，防止机器脚本的效果是很不错的。另一点很好的是，基于深度学习构建神经网络可以较为快速的学习特征，有可疑状况出现可以迅速的进行升级。
汉字验证码

汉字验证码因为汉字的复杂性和数量大，图像识别起来有必定的难度，也算是目前验证码中相对安全的一种。不过在用户体验上却不如极验的那么好。
通常状况下网站都会采用以上三种策略组合的方式来抵御撞库攻击，能不可以防得住，验证码起了很关键的做用。
固然还有一些其余高级一些的防护方式 进行生物特征识别，也就是说不使用咱们传统的密码了，固然这是任重而道远的一件事情； 使用手机验证码，性价比不高，物理因素的影响会很大，还有就是接码平台的存在也严重威胁其安全性； 对用户设置密码进行限制和更高级的算法加密，以及对用户的登陆环境进行监测等，可是这对不少的企业和网站来讲，实现起来是有难度的。 因此使用验证码是目前防止网站被撞库攻击性价比最高的方法，简单而容易实现，可是咱们应该选择安全性高的验证码，否则形同虚设，没有实质性的做用。