全球主机交流论坛

标题: 面对撞库，个人用户和企业用户该怎么做？ [打印本页]

作者: skyphp 时间: 2018-1-12 16:20
标题: 面对撞库，个人用户和企业用户该怎么做？
面对撞库攻击，不同的主体需要不同的方法，以下分为个人用户和企业用户来讲讲。

面对撞库，个人用户能做什么?

已经有无数的安全人员建议你不要再多个网站设置同一个登录密码，并形成设置高强度密码的习惯。这无疑是“政治正确”的，但也是反人性的。在这里，岂安实验室的安全专家们推荐几个比较可行的方式：

收到威胁提示时，尽快修改密码;

和财产相关的账号一定要用单独的账号，避免和其他账号密码重叠;

使用更安全的认证方式，如果觉得密码太复杂记不住，可以采用扫描二维码登录、刷脸登录、指纹识别登录。

另外，如果想知道自己的账号是否被盗，可以搜索“社工库”，输入自己的ID，看看自己是否曾经有账号被盗，笔者就是这样找回了已经被遗忘的账号和密码。

面对撞库，企业能做什么?

要解决撞库问题，关键还在企业。

首先，如果不是某些企业被“脱裤”，就不会存在“撞库”行为。

问题就在于，一些企业可以做到自己不被脱裤，但是也架不住别的网站被脱裤，然后黑产拿着账号密码到自己这里来撞库。

所以只能换个思路来解决问题：黑产撞库行为一般是通过软件尝试批量登录，可以通过自动识别异常IP方式，扫描到单位时间内频繁登录的异常IP。对于异常的IP，整理一个非常严格的库，甚至直接禁止这些IP访问网站。

但是，有些黑产会频繁换IP绕开风控来撞库，甚至借助家庭路由后门来撞库，这样的话简单的封IP就无法阻止撞库了。

可以通过增强登录入口识别能力的方法来提高登录入口的安全性，如增加图片验证码，与验证码生成的强度等。这样可以有效避免黑客通过代理登录获取用户个人信息，从而效规避撞库攻击;

还有一点需要注意的是，企业应该有意识地避免与“安全级别低”的网站建立联系，针对“安全级别中等”的网站，则可以采用OAUTH协议授权登录的方式，与以往的授权方式不同， OAUTH的授权不会让第三方触及到用户的帐号信息(如用户名与密码)，我们常见的微信授权登录、微博授权登录就是这种形式的典型代表。香港服务器http://www.usa-idc.com/

欢迎光临全球主机交流论坛 (http://bbs.cuwww.com/)