刚刚看到的,感觉写的还行,就分享过来看看
大家注意保管好自己的密码
撞库无论对普通用户还是对其他服务提供商来说,伤害都是可怕的。举个例子,之前某电商网站发生的“抹黑”事件,就是黑客利用“撞库”方法,“凑巧”获取到了该电商网站用户的数据(如用户名+密码),然后通过模仿正常用户的评论,留下了大量差评,导致对正常商家产生了非常恶劣的影响。
2典型的信息泄露和撞库事件2014年3月,携程因出现技术漏洞,导致个人信息、yinhang卡cw安全码等信息泄漏;
2014年5月,小米被爆用户资料泄漏,涉及800万小米社区注册用户信息;
2014年8月,多家快递公司被爆网站存在漏洞遭入侵,有1400万条个人信息被泄漏;
2014年12月,智联招聘86万用户简历泄漏;
2014年12月,东方航空大量用户订单泄漏;
2014年12月底,12306火车订票网站被人撞库;
…………
前有古人,后有来者,绵绵不绝,下一个受伤的人又是谁呢?
我们不再敢再有看热闹看笑话的心态了,最后会不会被伤害到,撞库让这一切成为可能!
撞库的基础是黑客手里需要掌控用户信息,那么这些信息的源头来哪里来,这就要说说拖库了。
和撞库类似,拖库也是一个黑客术语,它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为,因为谐音,所以也常被称作“脱裤”。
在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链,将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。比如:售卖用户账号中的虚拟货bi、游戏账号、装备等变现,也就是俗称的“盗号”;对于金融类账号,比如:zhi付宝、财付通、网银、xinyong卡、股票的账号和密码等,用来进行金融犯罪和诈骗;对于一些比较特殊的用户信息如:学生、打工者、老板等,则会通过发送广告、垃圾短信、电商营销等方式变相获利;另外是将有价值的用户信息直接出售给第三方,如网店经营者和广告投放公司等。比如黑客利用此次获取的12306帐户信息做铁路购票、退票、专卖信息等。
4作为普通用户,撞库如何破虽说撞库很难防范,且最关键的是问题是掉链子的又不是我啊!But,没错,But作为普通用户,难道就没有办法抵抗了吗?以下有几个小招,谈不上葵花宝典,但减少被撞库的可能性还是妥妥的。一起来了解一下吧!
第一招:密码轻重分离。
重要帐号的密码要分离。也就是说,日常的帐号基本可以分成两类:财产类和娱乐类。用户名都统一其实这个无所谓,最关键在于密码。对于重要的帐号(如财产类)密码要分离。娱乐类的帐号可以使用统一的用户名和密码。财产类的帐号可以使用各自独立又有关联的密码,即选用相似的密码规则方便记忆。比如:财付通的密码可以是: caiXXXXXX(常用密码几位数字)futong,或cfXXXXXXt,cXXXXXXft,cftXXXXXXdemi,cftXXXXXX1108。类似tb的密码可以是:tbXXXXXXdemi等,只要密码规则类似,且主体数字一致,其实也蛮容易记忆的。亲们,可以试试看,据说用过的都说好。
第二招:登录方式要分离。
重要的帐号可以选择非直接密码登录,比如需要验证手机或APP动态密码/扫描二维码等方式,真正做到轻重分离,关键帐号为了更安全,体验可做妥协和平衡。
第三招:定期/不定期改密。
这招虽说老生常谈,但益处多多,不然也不会那么多公司/企业都强制要求员工经常改密。大家都懂的道理就不再废话了。
5作为服务提供商,撞库如何防作为服务的提供者,也许安全措施再严密也难保100%不被拖库,也难保其他人被拖库后带来的连带影响,比如撞库扫号等。
说到底还是得有实力来防范撞库。撞库的对抗本质是人机的对抗的过程。在策略对抗方面,下面这些思路并不新鲜,但组合起来还是很有效的。
第一招:弹验证码。
可以根据号码的属性和历史行为分析,当发生可疑登录时,触发不同类型的验证码。比如:长验证码、短信(微信)验证码、中文验证码,或其他有交互类/智能类的验证码,确保有效对抗验证码的自动破解。
第二招:自动识别异常IP。
目前各大安全公司基本都有建设和维护自己的IP信誉库,关键时刻,数据的积累和刻画是非常之重要的。黑客虽然可以利用代理等随机变换IP,但毕竟不管如何,IP资源也是有限的,我们掌握得越多,黑客可以利用的资源就越少。设备指纹库库思路类似。
第三招:收集泄露信息,构建泄露库。
好处在于可快速判断是否属于撞库。比如:12306的泄露信息,被用来撞QQ或微信,而并不存在这样的帐号,这样的行为多起来的时候则可能是撞库。
另外,配合异地聚集等策略,如命中历史密码比率高的、或密码错误率高的,特别是泄露信息聚集的基本可判断为撞库。那么在准确度极为可信的情况下,直接返回密码错误混淆黑客的耳目也不算暴力,或是采用类似差别验证码的思路,需要密码连续对N次才放过,或是登录延时等策略。这样就可以达到阻断撞库的目的。
第四招:短时间内多次不同的尝试。
现在泄露信息流传之快是难以想象的,一旦被拖库,可能已有多群黑客拿到数据进行撞库,对于热门的网站或应用,一个帐号就有可能出现短时间内被多人尝试的可能。如短时间内有不同的人(IP/机器等标识)去尝试登录,并且用的是历史密码,那么同样说明撞库的可能性极高。
第五招:利用cookie/JS等动态验证对抗自动机撞库。
验证参数是否为空或者缺失或过分一致以便区别是人还是自动机。这是比较常见的对抗方法。
smoke 发表于 2015-10-13 16:00
接下来给大家讲讲脱裤和洗裤
鬼鬼 发表于 2015-10-13 15:36
我都不记得。。密码太多混乱了。
國叄 发表于 2015-10-13 15:29
五个小号密码都不一样,记了挺长时间。然后前几天被封禁了三个
qwe2902911921 发表于 2015-10-13 14:59
我就是专业撞库的,好像也就那么回事,撞库这个词显得太高大上了,我都喜欢叫扫号
...
鬼鬼 发表于 2015-10-13 16:15
真是机智啊。。
鬼鬼 发表于 2015-10-13 16:28
我一般截图然后锁起来。。
阿星 发表于 2015-10-13 16:02
是啊。脱裤子和洗裤子
欢迎光临 梦殇国际 (https://714.hk/) | Powered by Discuz! X3.4 |