言情小说君子以泽,天下高月小说,琅琊榜海宴小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

如何更好地防范撞庫和拖庫

近日，繼二次元網(wǎng)站A站發(fā)生用戶信息泄漏事件后，又有一家大型網(wǎng)站的用戶賬戶密碼在暗網(wǎng)被銷售。

創(chuàng)新互聯(lián)從2013年創(chuàng)立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目成都做網(wǎng)站、網(wǎng)站建設(shè)、外貿(mào)營(yíng)銷網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元烏蘭察布做網(wǎng)站,已為上家服務(wù),為烏蘭察布各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:13518219792

6月15日，筆者發(fā)現(xiàn)，前程無憂51Job.com部分用戶信息在暗網(wǎng)上被公開銷售，黑客甚至展示了部分樣本數(shù)據(jù)，包括郵箱、密碼、真實(shí)姓名、身份證號(hào)碼、電話等。前程無憂方面已證實(shí)，部分用戶賬戶密碼被撞庫，但否認(rèn)該公司數(shù)據(jù)被拖庫。

對(duì)非業(yè)界人士來說，可能對(duì)“撞庫”和“拖庫”比較陌生。到底什么是撞庫?什么又是拖庫?我們又該如何防范這些攻擊的發(fā)生?

一、關(guān)于撞庫拖庫

1. 撞庫

撞庫：黑客通過收集互聯(lián)網(wǎng)已泄露的用戶+密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登錄其他網(wǎng)站后，得到一系列密碼組合后可以登錄的用戶。

黑客首先會(huì)通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，然后再用字典中羅列的用戶和密碼，嘗試批量登陸其他網(wǎng)站。如果用戶圖省事在多個(gè)網(wǎng)站設(shè)置了同樣的用戶名和密碼，黑客很容易就會(huì)通過字典中已有的信息，登錄到這些網(wǎng)站，從而獲得用戶的相關(guān)信息，如：手機(jī)號(hào)碼、身份證號(hào)碼、家庭住址、支付寶、網(wǎng)銀信息等。

2. 拖庫

拖庫：也是一個(gè)黑客術(shù)語，它指的是黑客入侵有價(jià)值的網(wǎng)站，把注冊(cè)用戶的資料數(shù)據(jù)庫全部盜走的行為，因?yàn)橹C音，所以也常被稱作“脫褲”。

前幾年某知名手機(jī)品牌發(fā)生的用戶信息大量泄露事件，其實(shí)就是拖庫行為的一個(gè)典型案例;在該事件中，用戶名和密碼大量泄露，黑客反過利用這些用戶名和密碼，登錄該品牌服務(wù)器，獲得了極其詳細(xì)的用戶資料，其中包括用戶的手機(jī)號(hào)、郵箱甚至通訊錄等。

3. 利益驅(qū)動(dòng)

黑客之所以這么做，就是因?yàn)椤袄妗倍?。通過撞庫拖庫，實(shí)現(xiàn)對(duì)自己的好處，比如獲利、報(bào)復(fù)等攻擊行為初衷。

二、防范策略

數(shù)據(jù)擁有者應(yīng)在數(shù)據(jù)存儲(chǔ)方案設(shè)計(jì)之初，既要考慮重要數(shù)據(jù)存儲(chǔ)的安全，又要考慮數(shù)據(jù)庫訪問的安全。數(shù)據(jù)使用者應(yīng)不斷加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，確保自身的數(shù)據(jù)信息的安全。

1. 密碼存儲(chǔ)的防拖庫設(shè)計(jì)

目前，大多數(shù)網(wǎng)站對(duì)數(shù)據(jù)庫中的密碼信息是加密存儲(chǔ)的。常見的有MD5加密，理論上說這種方式是不可逆的，但是這種方式仍然是不安全的，只要枚舉出所有的常用密碼，做成一個(gè)索引表，就可以推出來原始密碼，這張索引表也被叫做“彩虹表”。

面對(duì)以上風(fēng)險(xiǎn)，主流網(wǎng)站后端數(shù)據(jù)庫的密碼存儲(chǔ)都在MD5的基礎(chǔ)上進(jìn)行加鹽;所以不再只保存加密過的口令，而是先將口令和隨機(jī)數(shù)連接起來然后一同加密，加密后的結(jié)果放在口令文件中。

隨著技術(shù)的發(fā)展，出現(xiàn)了強(qiáng)認(rèn)證技術(shù)，即二次認(rèn)證密碼：除了對(duì)固有密碼進(jìn)行加密存儲(chǔ)外，系統(tǒng)還自身生成一個(gè)加密密鑰。已廣泛應(yīng)用在金融行業(yè)及支付行業(yè)，我們使用比較多的有手機(jī)短信驗(yàn)證碼、動(dòng)態(tài)令牌、Ukey、密鑰文件等形式。

當(dāng)然，還有很多加密存儲(chǔ)手段，筆者就不一一列舉?？赡?，還有部分網(wǎng)站或系統(tǒng)的密碼數(shù)據(jù)還是采用明文存儲(chǔ);在此，筆者希望不要因?yàn)槟銈兊氖∈?，而忽視了用戶?duì)你們的信任。

2. 數(shù)據(jù)庫防護(hù)方案

除了對(duì)數(shù)據(jù)存儲(chǔ)的防拖庫設(shè)計(jì)，對(duì)數(shù)據(jù)庫的數(shù)據(jù)交互、訪問過程、運(yùn)維操作進(jìn)行安全防護(hù)，也是降低拖庫風(fēng)險(xiǎn)的有效措施。

(1) 數(shù)據(jù)交互的防護(hù)方案

有能力的企業(yè)根據(jù)自身業(yè)務(wù)特征、自身IT技術(shù)實(shí)力，在前端應(yīng)用與后端數(shù)據(jù)庫的交互過程中，建議設(shè)計(jì)統(tǒng)一查詢接口，便于管理和監(jiān)控。

(2) 重要數(shù)據(jù)信息加密保護(hù)方案

可以對(duì)數(shù)據(jù)庫采用軟件加密技術(shù)對(duì)重要數(shù)據(jù)進(jìn)行防提取和防拷貝等，也可以采用專業(yè)的加密設(shè)備對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

(3) 數(shù)據(jù)庫運(yùn)維防護(hù)方案

在對(duì)數(shù)據(jù)庫管理與維護(hù)的過程中，可以使用專業(yè)的運(yùn)維防護(hù)工具，如數(shù)據(jù)庫安全網(wǎng)關(guān)、堡壘機(jī)等。

(4) 數(shù)據(jù)庫實(shí)時(shí)監(jiān)測(cè)方案

我們還需要對(duì)數(shù)據(jù)庫進(jìn)行全方位的監(jiān)測(cè)，包括訪問情況、數(shù)據(jù)交互情況、風(fēng)險(xiǎn)操作情況、網(wǎng)絡(luò)流量等信息，一旦發(fā)現(xiàn)危險(xiǎn)操作可及時(shí)處置。

3. 最終用戶的安全意識(shí)

我們的生活已經(jīng)被密碼層層包圍：打開鎖屏手機(jī)，需要輸入密碼;打開電腦，需要輸入密碼;上QQ微信聊天，需要輸入密碼;登錄微博論壇購物網(wǎng)站，需要輸入密碼;使用銀行卡支付寶等等，更要需要輸入密碼……每個(gè)人都有自己的一套密碼，密碼后面就是我們的重要信息、隱私以及財(cái)產(chǎn)，其重要性不言而喻，個(gè)人密碼的安全性和被破譯難度將直接影響到用戶的數(shù)據(jù)與信息安全。因此，為自己的各個(gè)賬戶設(shè)置一組難以破解的密碼是構(gòu)筑個(gè)人信息安全最重要一步。

但是，千萬不要做以下密碼設(shè)置：

不要設(shè)定密碼為帶有生日、電話號(hào)碼、QQ或郵箱等與個(gè)人信息有明顯聯(lián)系的數(shù)據(jù)，也不要采用字典中的單詞，原因很簡(jiǎn)單，這些都屬于弱密碼。
不要在多個(gè)場(chǎng)合使用同一個(gè)密碼：為不同應(yīng)用場(chǎng)合設(shè)置不同密碼，特別是有關(guān)財(cái)務(wù)的網(wǎng)銀及網(wǎng)購賬戶，避免一個(gè)帳戶密碼被盜，其它帳戶密碼也被輕易破解。
不要長(zhǎng)期使用固定密碼：定期或者不定期修改密碼，安全更有保障。
不要將密碼設(shè)置得過短：密碼越長(zhǎng)，破解的時(shí)間也越長(zhǎng)。如果不想讓黑客在24小時(shí)內(nèi)能破解你的密碼，密碼長(zhǎng)度應(yīng)該超過14個(gè)字符。

可能有的朋友會(huì)說“簡(jiǎn)單了會(huì)被破解，復(fù)雜了記不住，那我該怎么設(shè)置密碼呢?”

筆者有以下幾點(diǎn)建議：

采用文本或表格的方式記錄和保存密碼
采用安全的密碼生成器保管密碼
設(shè)置易記的密保問答
盡可能使用平臺(tái)提供的多重認(rèn)證方式，如手機(jī)驗(yàn)證、動(dòng)態(tài)口令、加密密鑰等

三、結(jié)語

不管是對(duì)數(shù)據(jù)的擁有者，還是數(shù)據(jù)的使用者，都要有安全防范意識(shí)。數(shù)據(jù)擁有者，可以通過風(fēng)險(xiǎn)檢測(cè)和風(fēng)險(xiǎn)評(píng)估幫助內(nèi)部數(shù)據(jù)符合規(guī)范要求;數(shù)據(jù)使用者不要在非法的網(wǎng)站或軟件里錄入自身的身份信息。

當(dāng)前標(biāo)題：如何更好地防范撞庫和拖庫
標(biāo)題URL：http://fisionsoft.com.cn/article/djohgss.html

新聞中心

其他資訊