日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近日，繼二次元網(wǎng)站A站發(fā)生用戶信息泄漏事件后，又有一家大型網(wǎng)站的用戶賬戶密碼在暗網(wǎng)被銷售。

創(chuàng)新互聯(lián)從2013年創(chuàng)立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目成都做網(wǎng)站、網(wǎng)站建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元烏蘭察布做網(wǎng)站,已為上家服務(wù),為烏蘭察布各地企業(yè)和個人服務(wù),聯(lián)系電話:13518219792

6月15日，筆者發(fā)現(xiàn)，前程無憂51Job.com部分用戶信息在暗網(wǎng)上被公開銷售，黑客甚至展示了部分樣本數(shù)據(jù)，包括郵箱、密碼、真實姓名、身份證號碼、電話等。前程無憂方面已證實，部分用戶賬戶密碼被撞庫，但否認該公司數(shù)據(jù)被拖庫。

對非業(yè)界人士來說，可能對“撞庫”和“拖庫”比較陌生。到底什么是撞庫?什么又是拖庫?我們又該如何防范這些攻擊的發(fā)生?

一、關(guān)于撞庫拖庫

1. 撞庫

撞庫：黑客通過收集互聯(lián)網(wǎng)已泄露的用戶+密碼信息，生成對應(yīng)的字典表，嘗試批量登錄其他網(wǎng)站后，得到一系列密碼組合后可以登錄的用戶。

黑客首先會通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，然后再用字典中羅列的用戶和密碼，嘗試批量登陸其他網(wǎng)站。如果用戶圖省事在多個網(wǎng)站設(shè)置了同樣的用戶名和密碼，黑客很容易就會通過字典中已有的信息，登錄到這些網(wǎng)站，從而獲得用戶的相關(guān)信息，如：手機號碼、身份證號碼、家庭住址、支付寶、網(wǎng)銀信息等。

2. 拖庫

拖庫：也是一個黑客術(shù)語，它指的是黑客入侵有價值的網(wǎng)站，把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為，因為諧音，所以也常被稱作“脫褲”。

前幾年某知名手機品牌發(fā)生的用戶信息大量泄露事件，其實就是拖庫行為的一個典型案例;在該事件中，用戶名和密碼大量泄露，黑客反過利用這些用戶名和密碼，登錄該品牌服務(wù)器，獲得了極其詳細的用戶資料，其中包括用戶的手機號、郵箱甚至通訊錄等。

3. 利益驅(qū)動

黑客之所以這么做，就是因為“利益”二字。通過撞庫拖庫，實現(xiàn)對自己的好處，比如獲利、報復(fù)等攻擊行為初衷。

二、防范策略

數(shù)據(jù)擁有者應(yīng)在數(shù)據(jù)存儲方案設(shè)計之初，既要考慮重要數(shù)據(jù)存儲的安全，又要考慮數(shù)據(jù)庫訪問的安全。數(shù)據(jù)使用者應(yīng)不斷加強網(wǎng)絡(luò)安全意識，確保自身的數(shù)據(jù)信息的安全。

1. 密碼存儲的防拖庫設(shè)計

目前，大多數(shù)網(wǎng)站對數(shù)據(jù)庫中的密碼信息是加密存儲的。常見的有MD5加密，理論上說這種方式是不可逆的，但是這種方式仍然是不安全的，只要枚舉出所有的常用密碼，做成一個索引表，就可以推出來原始密碼，這張索引表也被叫做“彩虹表”。

面對以上風險，主流網(wǎng)站后端數(shù)據(jù)庫的密碼存儲都在MD5的基礎(chǔ)上進行加鹽;所以不再只保存加密過的口令，而是先將口令和隨機數(shù)連接起來然后一同加密，加密后的結(jié)果放在口令文件中。

隨著技術(shù)的發(fā)展，出現(xiàn)了強認證技術(shù)，即二次認證密碼：除了對固有密碼進行加密存儲外，系統(tǒng)還自身生成一個加密密鑰。已廣泛應(yīng)用在金融行業(yè)及支付行業(yè)，我們使用比較多的有手機短信驗證碼、動態(tài)令牌、Ukey、密鑰文件等形式。

當然，還有很多加密存儲手段，筆者就不一一列舉。可能，還有部分網(wǎng)站或系統(tǒng)的密碼數(shù)據(jù)還是采用明文存儲;在此，筆者希望不要因為你們的省事，而忽視了用戶對你們的信任。

2. 數(shù)據(jù)庫防護方案

除了對數(shù)據(jù)存儲的防拖庫設(shè)計，對數(shù)據(jù)庫的數(shù)據(jù)交互、訪問過程、運維操作進行安全防護，也是降低拖庫風險的有效措施。

(1) 數(shù)據(jù)交互的防護方案

有能力的企業(yè)根據(jù)自身業(yè)務(wù)特征、自身IT技術(shù)實力，在前端應(yīng)用與后端數(shù)據(jù)庫的交互過程中，建議設(shè)計統(tǒng)一查詢接口，便于管理和監(jiān)控。

(2) 重要數(shù)據(jù)信息加密保護方案

可以對數(shù)據(jù)庫采用軟件加密技術(shù)對重要數(shù)據(jù)進行防提取和防拷貝等，也可以采用專業(yè)的加密設(shè)備對重要數(shù)據(jù)進行加密存儲。

(3) 數(shù)據(jù)庫運維防護方案

在對數(shù)據(jù)庫管理與維護的過程中，可以使用專業(yè)的運維防護工具，如數(shù)據(jù)庫安全網(wǎng)關(guān)、堡壘機等。

(4) 數(shù)據(jù)庫實時監(jiān)測方案

我們還需要對數(shù)據(jù)庫進行全方位的監(jiān)測，包括訪問情況、數(shù)據(jù)交互情況、風險操作情況、網(wǎng)絡(luò)流量等信息，一旦發(fā)現(xiàn)危險操作可及時處置。

3. 最終用戶的安全意識

我們的生活已經(jīng)被密碼層層包圍：打開鎖屏手機，需要輸入密碼;打開電腦，需要輸入密碼;上QQ微信聊天，需要輸入密碼;登錄微博論壇購物網(wǎng)站，需要輸入密碼;使用銀行卡支付寶等等，更要需要輸入密碼……每個人都有自己的一套密碼，密碼后面就是我們的重要信息、隱私以及財產(chǎn)，其重要性不言而喻，個人密碼的安全性和被破譯難度將直接影響到用戶的數(shù)據(jù)與信息安全。因此，為自己的各個賬戶設(shè)置一組難以破解的密碼是構(gòu)筑個人信息安全最重要一步。

但是，千萬不要做以下密碼設(shè)置：

• 不要設(shè)定密碼為帶有生日、電話號碼、QQ或郵箱等與個人信息有明顯聯(lián)系的數(shù)據(jù)，也不要采用字典中的單詞，原因很簡單，這些都屬于弱密碼。
• 不要在多個場合使用同一個密碼：為不同應(yīng)用場合設(shè)置不同密碼，特別是有關(guān)財務(wù)的網(wǎng)銀及網(wǎng)購賬戶，避免一個帳戶密碼被盜，其它帳戶密碼也被輕易破解。
• 不要長期使用固定密碼：定期或者不定期修改密碼，安全更有保障。
• 不要將密碼設(shè)置得過短：密碼越長，破解的時間也越長。如果不想讓黑客在24小時內(nèi)能破解你的密碼，密碼長度應(yīng)該超過14個字符。

可能有的朋友會說“簡單了會被破解，復(fù)雜了記不住，那我該怎么設(shè)置密碼呢?”

筆者有以下幾點建議：

• 采用文本或表格的方式記錄和保存密碼
• 采用安全的密碼生成器保管密碼
• 設(shè)置易記的密保問答
• 盡可能使用平臺提供的多重認證方式，如手機驗證、動態(tài)口令、加密密鑰等

三、結(jié)語

不管是對數(shù)據(jù)的擁有者，還是數(shù)據(jù)的使用者，都要有安全防范意識。數(shù)據(jù)擁有者，可以通過風險檢測和風險評估幫助內(nèi)部數(shù)據(jù)符合規(guī)范要求;數(shù)據(jù)使用者不要在非法的網(wǎng)站或軟件里錄入自身的身份信息。

網(wǎng)頁標題：如何更好地防范撞庫和拖庫
文章位置：http://m.5511xx.com/article/djohgss.html