极验验证安全大牛谈撞库
近日,大麦网遭遇撞库,导致39位用户被骗,直接经济损失高达147万元。
大家纷纷惊觉,撞库是什么?居然这么可怕。
其实一直以来,撞库的危害都存在,撞库导致的数据泄露并非只此一家,之前有12306被撞库,泄露10万条用户数据,后又有网易邮箱遭遇撞库,过亿邮箱数据泄密。那么撞库到底是什么呢?怎么防御撞库呢?
小验验带着满腔的困惑咨询了极验验证的安全技术大牛极小验。
小验验:
大牛,撞库是什么呢?
极小验:
撞库是黑客攻击网站,获取用户隐私信息的一种技术手段。黑客通过收集互联网已泄露的信息,特别是已注册用户的用户名和密码信息,生成对应的字典表。通过自动化脚本程序和字典批量尝试登录其他大型网站,得到一系列可用的真实用户信息。
小验验:
互联网已泄露的信息是怎么来的呢?
极小验:
信息泄露的来源有很多,比如说有的小网站安全措施不是很到位有很多的漏洞,很容易就被黑客用SQL注入等手段获得数据库信息;还比如说黑客会通过钓鱼网站,木马链接来骗取用户信息。通过已经有的用户信息,包括用户名和密码,以及电话号码等,会有人专门将这些信息搜集起来,整理成一份文件,也就是字典。
小验验:
黑客有了字典就能够撞库成功了吗?
极小验:
当然不是,有了字典还必须要满足两个条件才能够撞库成功。极小验我先问你一个问题,你在网上注册的时候,各个网站是不是都用一套或者两套相同的用户名和密码呀?
小验验:
是呀是呀,我比较懒,为了方便记忆,所以很多网站的用户名和密码都是一样的。
极小验:
这就是了,大部分的网友跟你的情况是一样的,注册的很多网站都用同样的用户名和密码,那如果某个小网站被拖库了,你的用户名和密码泄露了,那黑客就可以拿着这一套用户名和密码去登录你注册过的其他网站,获取更多你的隐私甚至是财产信息。
小验验:
太可怕了,那另一个条件是什么呢?
极小验:
你想啊,黑客虽然有字典表,但是他并不知道你这一套用户名和密码注册过哪些网站对不对,那他只能够去尝试登录。手动的尝试登录太慢,黑客们会利用恶意程序自动批量尝试登录。如果网站可以阻止黑客的批量尝试登录,那黑客的撞库计划不就不能成功了吗?
小验验:
那有什么方法可以防止撞库呢?
极小验:
防御撞库我们需要从两方面入手
一方面是我们广大的用户们要尽量避免所有的网站、应用都使用同一套用户名和密码。建议大家可以使用三套及以上用户名和密码。将我们注册的网站和应用分为三个等级,一类是在只会涉及一些无足轻重信息的小网站使用,一类是在会涉及社交信息以及电话号码的网站和应用使用,最后一类则是在涉及身份证以及财产信息的网站及应用使用。这样也不会太杂乱,难以记忆又能够比较好的保护自己的信息。
第二方面就是作为企业我们有责任有义务去保护用户的信息安全,要从技术上面防止撞库攻击。企业防止撞库,其实无非就是防止黑客通过恶意程序批量尝试登录。
具体方法
1. 可以限制同一个IP的请求次数,但是由于IP代理技术的发展,这样做显得有些无力。
2. 使用cookie,flash cookie以及帆布指纹等方法 ,也是目前很多网站都会使用的方法,但是cookie也有可能通过技术手段清除掉。
3. 定期强制用户更换密码,或者使用独特的密码设计。
4. 在登录模块使用反图灵测试,也就是验证码,进行人机识别,防止恶意程序批量尝试登录。
但是传统的验证码并不安全,因为图像识别技术的发展,原来的验证码也能够轻易的被黑客通过脚本程序识别,并且速度快,准确率高,根本不具备保护网站的作用。
极验也正是因为传统的验证码不安全,才提出行为式验证技术,利用深度学习,机器学习等技术手段,对人和机器的网络行为进行分析,来判别人机。这种验证方式利用的是人和程序行为上的区别,程序要完全模拟人类的行为还非常遥远。
在现阶段,网站以及应用要防止撞库,使用极验的验证码是性价比最高的方法。
小验验结语
防守往往比攻击难,黑客只需要找到一个漏洞就能够发起攻击,而我们做安全却要保证百分之百。我们每一个企业都要尽全力保障用户信息安全,但是我们每个企业却不必苛责自己十项全能。闻道有先后,术业有专攻,专业的黑客就交给专业的防守来做,而极验一直专注于验证安全领域,我们愿意携手每一个企业做好验证安全,抗击黑产,保障用户的信息安全。
其实一直以来,撞库的危害都存在,撞库导致的数据泄露并非只此一家,之前有12306被撞库,泄露10万条用户数据,后又有网易邮箱遭遇撞库,过亿邮箱数据泄密。那么撞库到底是什么呢?怎么防御撞库呢?
小验验带着满腔的困惑咨询了极验验证的安全技术大牛极小验。
小验验:
大牛,撞库是什么呢?
极小验:
撞库是黑客攻击网站,获取用户隐私信息的一种技术手段。黑客通过收集互联网已泄露的信息,特别是已注册用户的用户名和密码信息,生成对应的字典表。通过自动化脚本程序和字典批量尝试登录其他大型网站,得到一系列可用的真实用户信息。
小验验:
互联网已泄露的信息是怎么来的呢?
极小验:
信息泄露的来源有很多,比如说有的小网站安全措施不是很到位有很多的漏洞,很容易就被黑客用SQL注入等手段获得数据库信息;还比如说黑客会通过钓鱼网站,木马链接来骗取用户信息。通过已经有的用户信息,包括用户名和密码,以及电话号码等,会有人专门将这些信息搜集起来,整理成一份文件,也就是字典。
小验验:
黑客有了字典就能够撞库成功了吗?
极小验:
当然不是,有了字典还必须要满足两个条件才能够撞库成功。极小验我先问你一个问题,你在网上注册的时候,各个网站是不是都用一套或者两套相同的用户名和密码呀?
小验验:
是呀是呀,我比较懒,为了方便记忆,所以很多网站的用户名和密码都是一样的。
极小验:
这就是了,大部分的网友跟你的情况是一样的,注册的很多网站都用同样的用户名和密码,那如果某个小网站被拖库了,你的用户名和密码泄露了,那黑客就可以拿着这一套用户名和密码去登录你注册过的其他网站,获取更多你的隐私甚至是财产信息。
小验验:
太可怕了,那另一个条件是什么呢?
极小验:
你想啊,黑客虽然有字典表,但是他并不知道你这一套用户名和密码注册过哪些网站对不对,那他只能够去尝试登录。手动的尝试登录太慢,黑客们会利用恶意程序自动批量尝试登录。如果网站可以阻止黑客的批量尝试登录,那黑客的撞库计划不就不能成功了吗?
小验验:
那有什么方法可以防止撞库呢?
极小验:
防御撞库我们需要从两方面入手
一方面是我们广大的用户们要尽量避免所有的网站、应用都使用同一套用户名和密码。建议大家可以使用三套及以上用户名和密码。将我们注册的网站和应用分为三个等级,一类是在只会涉及一些无足轻重信息的小网站使用,一类是在会涉及社交信息以及电话号码的网站和应用使用,最后一类则是在涉及身份证以及财产信息的网站及应用使用。这样也不会太杂乱,难以记忆又能够比较好的保护自己的信息。
第二方面就是作为企业我们有责任有义务去保护用户的信息安全,要从技术上面防止撞库攻击。企业防止撞库,其实无非就是防止黑客通过恶意程序批量尝试登录。
具体方法
1. 可以限制同一个IP的请求次数,但是由于IP代理技术的发展,这样做显得有些无力。
2. 使用cookie,flash cookie以及帆布指纹等方法 ,也是目前很多网站都会使用的方法,但是cookie也有可能通过技术手段清除掉。
3. 定期强制用户更换密码,或者使用独特的密码设计。
4. 在登录模块使用反图灵测试,也就是验证码,进行人机识别,防止恶意程序批量尝试登录。
但是传统的验证码并不安全,因为图像识别技术的发展,原来的验证码也能够轻易的被黑客通过脚本程序识别,并且速度快,准确率高,根本不具备保护网站的作用。
极验也正是因为传统的验证码不安全,才提出行为式验证技术,利用深度学习,机器学习等技术手段,对人和机器的网络行为进行分析,来判别人机。这种验证方式利用的是人和程序行为上的区别,程序要完全模拟人类的行为还非常遥远。
在现阶段,网站以及应用要防止撞库,使用极验的验证码是性价比最高的方法。
小验验结语
防守往往比攻击难,黑客只需要找到一个漏洞就能够发起攻击,而我们做安全却要保证百分之百。我们每一个企业都要尽全力保障用户信息安全,但是我们每个企业却不必苛责自己十项全能。闻道有先后,术业有专攻,专业的黑客就交给专业的防守来做,而极验一直专注于验证安全领域,我们愿意携手每一个企业做好验证安全,抗击黑产,保障用户的信息安全。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
极验验证
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 长江的美丽变奏 7962308
- 2 中央一号文件:推进农村高额彩礼治理 7918477
- 3 浙江一地为领导赏雪封路?官方回应 7844019
- 4 小包裹折射中国经济澎湃动能 7767230
- 5 中央一号文件释放了哪些新信号 7684163
- 6 俄士兵与敌肉搏获胜 普京亲自授勋 7529816
- 7 AI用几滴血就可预测上百种疾病 7405034
- 8 终于有部剧还原了我的高清童年 7351398
- 9 王曼昱4比0胜孙颖莎 首夺亚洲杯冠军 7266851
- 10 弟弟偷用姐姐化妆品 小表情绝了 7188476
