撞库攻击是什么？该如何有效预防？老男孩网络安全培训班

       现如今已是21世纪，越来越多的人开始使用智能设备，科技在为我们带来便利的同时，也存在着一定的风险，比如遭受到网络攻击，网络攻击会给企业、个人带来巨大的损失，因此网络安全也变得越来越重要，那撞库攻击是什么呢？请看下文：

       什么是撞库攻击？

       字面意思为，碰撞数据库，然而"碰撞"，其中存在一定运气成分，数据库往往存储着大量私密数据，比如登录网站时所用到的用户名、密码、手机号等个人隐私信息，也都被存储在了数据库中，这个行为体现了撞库的主要场景，用大白话来说，就是"盗号"。

       然而现实中的撞库攻击主要是攻击者通过一些自动化工具（如脚本），从而针对要撞库站点的相关接口（如登录接口），批量提交大量用户名和密码组合，记录能成功登录的组合从而达成盗取账号的目的。

       在得到用户名和密码后，攻击者可以将银行账户中的资金转走、盗用他人身份发表一些言论等。

       然而，撞库的目的有2种：

       1、盗号并不是撞库攻击的唯一目的；

       2、验证某个账号有没有在一个站点中注册过也是常见的撞库目的。

       企业该如何有效避免"撞库"攻击？

       从企业角度来考虑，此工作非常非常重要，一旦账户安全时空，会带来更多后续问题，然而补救这些问题所付出的成本往往远大于账户安全防护本身，这里给出一些最佳实践供大家参考：

       1、强制用户密码的强度

       这一点，不少网站已经做得很好了，但还有很多网站允许用户使用简单的密码，如123456789，有一点需要注意，不要忽略APP、小程序等非网页环境的地方。

       2、定期强制用户更换密码

       这一点主要针对企业内部员工，毕竟记住一个密码就很难受了，如果强制用户定期更换密码，会大幅度降低用户体验度。

       3、在账户相关接口加强人机防控策略

       这里所提到的接口，主要包括登录、注册、找回密码、获取短信验证码等，"人机防控"指将这些接口中"机器"的访问请求和"真实的人"区别出来，如果能将大部分针对账户的"机器流量"识别出来并拦截，会是安全水位很大的一个提升。

       从技术层面讲，常见的方法有使用图形验证码、封禁高频请求的IP/会话、部署人机识别的SDK组件等，但采用图形验证码等方法，存在用户体验差以及被破解的问题。

       4、重要业务流程采用二次验证

       如转账前进行人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操作来自账户的拥有者。

       关于"撞库攻击是什么？该如何有效预防？"的话题到这里就结束了，老男孩网络安全培训课程为全日制教学，边讲边练，注重当堂教学知识点的消化吸收，重视学习效果，不定期的阶段性测试检验学员的学习成果，以弥补学习上的不足。

　　推荐阅读：

　　如何通过加密软件进而保护数据安全？老男孩网络安全课程

　　渗透测试中有哪些网站安全的评估方法？【网络安全培训】

　　漏洞扫描和渗透测试有什么区别？老男孩网络安全线下脱产班