请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

全球主机交流论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
热搜: discuz
查看: 88|回复: 0

面对撞库,个人用户和企业用户该怎么做?

[复制链接]

该用户从未签到

发表于 2018-1-12 16:20:52 | 显示全部楼层 |阅读模式
    面对撞库攻击,不同的主体需要不同的方法,以下分为个人用户和企业用户来讲讲。

    面对撞库,个人用户能做什么?

    已经有无数的安全人员建议你不要再多个网站设置同一个登录密码,并形成设置高强度密码的习惯。这无疑是“政治正确”的,但也是反人性的。在这里,岂安实验室的安全专家们推荐几个比较可行的方式:

    收到威胁提示时,尽快修改密码;

    和财产相关的账号一定要用单独的账号,避免和其他账号密码重叠;

    使用更安全的认证方式,如果觉得密码太复杂记不住,可以采用扫描二维码登录、刷脸登录、指纹识别登录。

    另外,如果想知道自己的账号是否被盗,可以搜索“社工库”,输入自己的ID,看看自己是否曾经有账号被盗,笔者就是这样找回了已经被遗忘的账号和密码。

    面对撞库,企业能做什么?

    要解决撞库问题,关键还在企业。

    首先,如果不是某些企业被“脱裤”,就不会存在“撞库”行为。

    问题就在于,一些企业可以做到自己不被脱裤,但是也架不住别的网站被脱裤,然后黑产拿着账号密码到自己这里来撞库。

    所以只能换个思路来解决问题:黑产撞库行为一般是通过软件尝试批量登录,可以通过自动识别异常IP方式,扫描到单位时间内频繁登录的异常IP。对于异常的IP,整理一个非常严格的库,甚至直接禁止这些IP访问网站。

    但是,有些黑产会频繁换IP绕开风控来撞库,甚至借助家庭路由后门来撞库,这样的话简单的封IP就无法阻止撞库了。

    可以通过增强登录入口识别能力的方法来提高登录入口的安全性,如增加图片验证码,与验证码生成的强度等。这样可以有效避免黑客通过代理登录获取用户个人信息,从而效规避撞库攻击;

    还有一点需要注意的是,企业应该有意识地避免与“安全级别低”的网站建立联系,针对“安全级别中等”的网站,则可以采用OAUTH协议授权登录的方式,与以往的授权方式不同, OAUTH的授权不会让第三方触及到用户的帐号信息(如用户名与密码),我们常见的微信授权登录、微博授权登录就是这种形式的典型代表。香港服务器http://www.usa-idc.com/
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|Archiver|手机版|中国U网    

GMT+8, 2018-7-23 00:01 , Processed in 0.086246 second(s), 33 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表