面对撞库，个人用户和企业用户该怎么做？

skyphp

    面对撞库攻击，不同的主体需要不同的方法，以下分为个人用户和企业用户来讲讲。

    面对撞库，个人用户能做什么?

    已经有无数的安全人员建议你不要再多个网站设置同一个登录密码，并形成设置高强度密码的习惯。这无疑是“政治正确”的，但也是反人性的。在这里，岂安实验室的安全专家们推荐几个比较可行的方式：

    收到威胁提示时，尽快修改密码;

    和财产相关的账号一定要用单独的账号，避免和其他账号密码重叠;

    使用更安全的认证方式，如果觉得密码太复杂记不住，可以采用扫描二维码登录、刷脸登录、指纹识别登录。

    另外，如果想知道自己的账号是否被盗，可以搜索“社工库”，输入自己的ID，看看自己是否曾经有账号被盗，笔者就是这样找回了已经被遗忘的账号和密码。

    面对撞库，企业能做什么?

    要解决撞库问题，关键还在企业。

    首先，如果不是某些企业被“脱裤”，就不会存在“撞库”行为。

    问题就在于，一些企业可以做到自己不被脱裤，但是也架不住别的网站被脱裤，然后黑产拿着账号密码到自己这里来撞库。

    所以只能换个思路来解决问题：黑产撞库行为一般是通过软件尝试批量登录，可以通过自动识别异常IP方式，扫描到单位时间内频繁登录的异常IP。对于异常的IP，整理一个非常严格的库，甚至直接禁止这些IP访问网站。

    但是，有些黑产会频繁换IP绕开风控来撞库，甚至借助家庭路由后门来撞库，这样的话简单的封IP就无法阻止撞库了。

    可以通过增强登录入口识别能力的方法来提高登录入口的安全性，如增加图片验证码，与验证码生成的强度等。这样可以有效避免黑客通过代理登录获取用户个人信息，从而效规避撞库攻击;

    还有一点需要注意的是，企业应该有意识地避免与“安全级别低”的网站建立联系，针对“安全级别中等”的网站，则可以采用OAUTH协议授权登录的方式，与以往的授权方式不同， OAUTH的授权不会让第三方触及到用户的帐号信息(如用户名与密码)，我们常见的微信授权登录、微博授权登录就是这种形式的典型代表。香港服务器http://www.usa-idc.com/