更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号
分类: 网络与安全
2022-04-27 15:20:22
什么是撞库攻击?撞库攻击可能对用户造成哪些危害?科技在高速发展,网络是把双刃剑,在带给我们益处的同时,也伴随着一定的风险,近期发生多起撞库事件,也让越来越多的人关注这个问题,那它到底是什么?又该如何防范?请看下文:
什么是撞库攻击?
按字面意思解读,就是“碰撞数据库”。“碰撞”意味着碰运气,即不一定能成功;而“数据库”中往往存储着大量敏感数据,比如我们登录一个网站所需要的用户名、密码,再比如手机号、身份证号等个人隐私信息。
撞库的主要场景:试图获取正确的账号/密码组合,大白话理解就是“盗号”。
从攻击目的上区分,撞库有以下几种常见场景:
1、弱密码嗅探:类似 111111、123456 这样的简单密码因为很多人用,用这样的弱口令去试探大量的账号,就有一定概率能发现一些真正在使用弱密码的账号。
2、利用拖库数据:原理是大多数人倾向于在多个站点上使用同一个密码(有多少人淘宝和支付宝的密码是一样的?)。当攻击者成功入侵一个安全防护能力很弱的站点 A,并拿到其数据库的所有用户名密码组合,然后再拿着这些组合去站点 B 尝试,如果你两个站点都注册过并且使用了同样的密码……撞库就成功了。
3、针对高权限账号的暴力破解:暴力破解严格来说跟撞库是两种类型的攻击,因为二者从攻击方法和防护方式的角度来看都差不多。这主要是针对一些高权限账号(如网站的管理员)用大量密码去试探,想要盗用的账号目标非常明确。
如何预防撞库?
1、强制用户密码的强度
这点不少站点现在已经做得很好了,但是还有相当多的应用允许用户使用 111111 这样的弱密码。同时也特别注意,不要忽略小程序、App 等非网页环境的注册接口。
2、定期强制用户更换密码。
这点主要针对企业内部员工,毕竟记住一个密码已经很痛苦了,这带来的用户体验将会直线下降。
3、在账户相关接口加强人机防控策略
人机防控”指的是将这些接口中“机器”的访问请求和“真实的人”区别出来,如果能将大部分针对账号的“机器流量”识别出来并拦截,会是安全水位很大的一个提升。从技术手段来说,常见的有使用图形验证码、封禁高频请求的 IP/会话、部署人机识别的 SDK 组件等等,但采用图形验证码等方式存在用户体验差以及被破解的问题。
4、重要业务流程采用二次验证
如转账前通过人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操作来自账号拥有者。
