【Web安全小知識】什麼是撞庫攻擊?如何預防撞庫?

　　什麼是撞庫攻擊?撞庫攻擊可能對使用者造成哪些危害?科技在高速發展，網路是把雙刃劍，在帶給我們益處的同時，也伴隨著一定的風險，近期發生多起撞庫事件，也讓越來越多的人關注這個問題，那它到底是什麼?又該如何防範?請看下文：

　　什麼是撞庫攻擊?

　　按字面意思解讀，就是“碰撞資料庫”。“碰撞”意味著碰運氣，即不一定能成功;而“資料庫”中往往儲存著大量敏感資料，比如我們登入一個網站所需要的使用者名稱、密碼，再比如手機號、身份證號等個人隱私資訊。

　　撞庫的主要場景：試圖獲取正確的賬號/密碼組合，大白話理解就是“盜號”。

　　從攻擊目的上區分，撞庫有以下幾種常見場景：

　　1、弱密碼嗅探：類似 111111、123456 這樣的簡單密碼因為很多人用，用這樣的弱口令去試探大量的賬號，就有一定機率能發現一些真正在使用弱密碼的賬號。

　　2、利用拖庫資料：原理是大多數人傾向於在多個站點上使用同一個密碼(有多少人淘寶和支付寶的密碼是一樣的?)。當攻擊者成功入侵一個安全防護能力很弱的站點 A，並拿到其資料庫的所有使用者名稱密碼組合，然後再拿著這些組合去站點 B 嘗試，如果你兩個站點都註冊過並且使用了同樣的密碼……撞庫就成功了。

　　3、針對高許可權賬號的暴力破解：暴力破解嚴格來說跟撞庫是兩種型別的攻擊，因為二者從攻擊方法和防護方式的角度來看都差不多。這主要是針對一些高許可權賬號(如網站的管理員)用大量密碼去試探，想要盜用的賬號目標非常明確。

　　如何預防撞庫?

　　1、強制使用者密碼的強度

　　這點不少站點現在已經做得很好了，但是還有相當多的應用允許使用者使用 111111 這樣的弱密碼。同時也特別注意，不要忽略小程式、App 等非網頁環境的註冊介面。

　　2、定期強制使用者更換密碼。

　　這點主要針對企業內部員工，畢竟記住一個密碼已經很痛苦了，這帶來的使用者體驗將會直線下降。

　　3、在賬戶相關介面加強人機防控策略

　　人機防控”指的是將這些介面中“機器”的訪問請求和“真實的人”區別出來，如果能將大部分針對賬號的“機器流量”識別出來並攔截，會是安全水位很大的一個提升。從技術手段來說，常見的有使用圖形驗證碼、封禁高頻請求的 IP/會話、部署人機識別的 SDK 元件等等，但採用圖形驗證碼等方式存在使用者體驗差以及被破解的問題。

　　4、重要業務流程採用二次驗證

　　如轉賬前透過人臉識別、指紋聲紋、簡訊/郵件驗證碼、身份證末位數字驗證等機制來確認當前操作來自賬號擁有者。