如何预防撞库攻击？老男孩Web安全培训班

　　什么是撞库攻击?撞库攻击可能对用户造成哪些危害?科技在高速发展，网络是把双刃剑，在带给我们益处的同时，也伴随着一定的风险，近期发生多起撞库事件，也让越来越多的人关注这个问题，那它到底是什么?又该如何防范?请看下文：

　　什么是撞库攻击?

　　按字面意思解读，就是“碰撞数据库”。“碰撞”意味着碰运气，即不一定能成功;而“数据库”中往往存储着大量敏感数据，比如我们登录一个网站所需要的用户名、密码，再比如手机号、身份证号等个人隐私信息。

　　撞库的主要场景：试图获取正确的账号/密码组合，大白话理解就是“盗号”。

　　从攻击目的上区分，撞库有以下几种常见场景：

　　1、弱密码嗅探：类似 111111、123456 这样的简单密码因为很多人用，用这样的弱口令去试探大量的账号，就有一定概率能发现一些真正在使用弱密码的账号。

　　2、利用拖库数据：原理是大多数人倾向于在多个站点上使用同一个密码(有多少人淘宝和支付宝的密码是一样的?)。当攻击者成功入侵一个安全防护能力很弱的站点 A，并拿到其数据库的所有用户名密码组合，然后再拿着这些组合去站点 B 尝试，如果你两个站点都注册过并且使用了同样的密码……撞库就成功了。

　　3、针对高权限账号的暴力破解：暴力破解严格来说跟撞库是两种类型的攻击，因为二者从攻击方法和防护方式的角度来看都差不多。这主要是针对一些高权限账号(如网站的管理员)用大量密码去试探，想要盗用的账号目标非常明确。

　　如何预防撞库?

　　1、强制用户密码的强度

　　这点不少站点现在已经做得很好了，但是还有相当多的应用允许用户使用 111111 这样的弱密码。同时也特别注意，不要忽略小程序、App 等非网页环境的注册接口。

　　2、定期强制用户更换密码。

　　这点主要针对企业内部员工，毕竟记住一个密码已经很痛苦了，这带来的用户体验将会直线下降。

　　3、在账户相关接口加强人机防控策略

　　人机防控”指的是将这些接口中“机器”的访问请求和“真实的人”区别出来，如果能将大部分针对账号的“机器流量”识别出来并拦截，会是安全水位很大的一个提升。从技术手段来说，常见的有使用图形验证码、封禁高频请求的 IP/会话、部署人机识别的 SDK 组件等等，但采用图形验证码等方式存在用户体验差以及被破解的问题。

　　4、重要业务流程采用二次验证

　　如转账前通过人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操作来自账号拥有者。

　　关于"Web渗透之预防撞库是什么?"的话题到这里就结束了，老男孩网络安全培训课程由经验丰富的技术大牛亲自授课，针对不同阶段的学员制定不同进度的课程，脱产班、周末班、网络班、超级直播班总有一个适合你。想学网络安全的朋友们，点击链接进入网络安全自学视频即可免费试听，也可以咨询在线客服领取免费试听资料。

注意：吐槽知乎网只是一个问答与文章免费发布平台，所有信息均有会员免费发布，不产生金钱交易，如果你有资金往来，请及时通过电话与对方联系，调查清楚，确认无误在选择，否则造成你的损失，由自己承担，本平台概不负责，谢谢！