<menuitem id="gofh3"><ruby id="gofh3"></ruby></menuitem>

      <div id="gofh3"><ol id="gofh3"></ol></div>

      <menuitem id="gofh3"></menuitem>

        <div id="gofh3"></div>
        <dl id="gofh3"><ins id="gofh3"></ins></dl>

          您好,请登录或注册会员中心
          网站首页 > 企业动态 > 技术资讯

          【新闻“联”播】如何更好地防范撞库和拖库!

          2018-06-27 10:09:08 南京联成科技发展股份有限公司 阅读

                近日,继二次元网站A站发生用户信息泄漏事件后,又有一家大型网站的用户账户密码在暗网被销售。

                6月15日,前程无忧51Job.com部分用户信息在暗网上被公开销售,黑客甚至展示了部分样本数据,包括邮箱、密码、真实姓名、身份证号码、电?#26263;取?#21069;程无忧方面已证实,部分用户账户密码被撞库,但否认该公司数据被拖库。

                对非业界人士来说,可能对“撞库”和“拖库”比较陌生。到?#36164;?#20040;是撞库?什么又是拖库?我们又该如何防范这些攻击的发生?

          撞库拖库

             一、关于撞库拖库

                1. 撞库

                撞库:黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列密码组合后可以登录的用户。

                黑客首先会通过收集互联网已泄露的用户和密码信息,生成对应的字典表,然后再用字典?#26032;?#21015;的用户和密码,尝试批量登陆其他网站。如果用户图省事在多个网站设置了同样的用户名和密码,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户?#21335;?#20851;信息,如:手机号码、身份证号码、家庭住址、支付宝、网银信息等。

                2. 拖库

                拖库:也是一个黑客术语,它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的?#24418;?#22240;为谐音,所以也常被称作“脱裤”。

                前几年?#25345;?#21517;手机品牌发生的用户信息大量泄露事件,其实就是拖库?#24418;?#30340;一个典型案例;在该事件中,用户名和密码大量泄露,黑客反过利用这些用户名和密码,登录该品?#21697;?#21153;器,获得了极其详细的用户资料,其中包括用户的手机号、邮箱甚至通讯录等。

                3. 利益驱动

                黑客之所以这么做,就是因为“利益”二字。通过撞库拖库,实现对自己的好处,比如获利、报复等攻击?#24418;?#21021;衷。

          撞库拖库

             二、防范策略

               数据拥有者应在数据存储方案设计之初,既要考?#20405;?#35201;数据存储的安全,又要考虑数据库访问的安全。数据使用者应不断?#24551;?#32593;络安全意识,确保自身的数据信息的安全。

                1. 密码存储的防拖库设计

                目前,大多数网站对数据库中的密码信息是?#29992;?#23384;储的。常见的有MD5?#29992;埽?#29702;论上说这种方式是不可逆的,但是这种方式仍然是?#35805;?#20840;的,只要枚举出所有的常用密码,做成一个索引表,就可以推出来原始密码,这张索引表也被叫做?#23433;?#34425;表”。

                面对以上风险,主流网站后端数据库的密码存储都在MD5的基础上进行加盐;所以不再只保存?#29992;?#36807;的口令,而是先将口令和随机数连接起来然后一同?#29992;埽用?#21518;的结果放在口令文件中。

          ?#35745;?#20851;键词

                随着技术的发展,出现了强?#29616;?#25216;术,即二次?#29616;?#23494;码:除了对固有密码进行?#29992;?#23384;储外,系统还自身生成一个?#29992;?#23494;钥。已广泛应用在金融行业及支付行业,我们使用比较多的有手机短信验证码、动态令牌、Ukey、密钥文件等形式。

                ?#27604;唬?#36824;有很多?#29992;?#23384;储手段,笔者就不一一列举。可能,还有部分网站或系统的密码数据还是采用明文存储;在此,笔者希望不要因为你们的省事,而忽视了用户对你们的信任。

                2. 数据库防护方案

                除了对数据存储的防拖库设计,对数据库的数据?#25442;ァ?#35775;问过程、运维操作进行安全防护,也是降低拖库风险的有效措施。

                (1) 数据?#25442;?#30340;防护方案

                有能力的企业根据自身业务特征、自身IT技术实力,在前端应用与后端数据库的?#25442;?#36807;程中,建议设计统一查询接口,便于管理和监控。

          ?#35745;?#20851;键词

                (2) 重要数据信息?#29992;?#20445;护方案

                可?#36828;?#25968;据库采用软件?#29992;?#25216;术?#28798;?#35201;数据进行防提取和防拷贝等,?#37096;?#20197;采用专业的?#29992;?#35774;备?#28798;?#35201;数据进行?#29992;?#23384;储。

          ?#35745;?#20851;键词

              (3) 数据库运维防护方案

              在对数据库管理与维护的过程中,可以使用专业的运维防护工具,如数据库安全网关、堡垒机等。

          ?#35745;?#20851;键词

               (4) 数据库实时监测方案

               我们还需要对数据库进行全方位的监测,包括访问情况、数据?#25442;?#24773;况、风险操作情况、网络流量等信息,一旦发现危险操作可及时处置。

          ?#35745;?#20851;键词

                3. 最终用户的安全意识

                我们的生活已经被密码层层包围:打开锁屏手机,需要输入密码;打开电脑,需要输入密码;上QQ微信聊天,需要输入密码;登录微博论坛?#20309;?#32593;站,需要输入密码;使用银行卡支付宝等等,更要需要输入密码……每个人都有自己的一套密码,密码后面就是我们的重要信息、隐私以?#23433;?#20135;,其重要性不?#36828;?#21947;,个人密码的安全性和被破译难度将直接影响到用户的数据与信息安全。因此,为自己的各个账户设置一组难?#20113;平?#30340;密码是构筑个人信息安全最重要一步。

               但是,千万不要做以下密码设置:

                   不要设定密码为带有生日、电话号码、QQ或邮箱等与个人信息有明显联系的数据,也不要采用字典中的单词,原因很简单,这些?#38469;?#20110;弱密码。

          •  不要在多个场合使用同一个密码?#20309;?#19981;同应用场合设置不同密码,特别是有关财务的网银及网购账户,避免一个帐户密码被盗,其它帐户密码也被轻易?#24179;狻?/p>

          •  不要长期使用固定密码:定期或者不定期修改密码,安全更有保障。

          •  不要将密码设置得过短?#22909;?#30721;越长,?#24179;?#30340;时间也越长。如果不想让黑客在24小时内能?#24179;?#20320;的密码,密码长度应该超过14个字符。

               可能有的朋友会说“简单了会被?#24179;猓?#22797;杂了记不住,那我该怎么设置密码呢?”

               笔者有以?#24405;?#28857;建议:

          • 采用文本或表格的方式记录和保存密码

          • 采用安全的密码生成器保管密码

          • 设置易记的密保问答

          • 尽可能使用平台提供的多重?#29616;?#26041;式,如手机验证、动态口令、?#29992;?#23494;钥等

              三、结语

               不管是对数据的拥有者,还是数据的使用者,?#23478;?#26377;安全防范意识。数据拥有者,可以通过风险检测和风险评估帮助内部数据符合规范要求;数据使用者不要在非法的网站或软件里录入自身的身份信息。


          > 28号彩票
          <menuitem id="gofh3"><ruby id="gofh3"></ruby></menuitem>

              <div id="gofh3"><ol id="gofh3"></ol></div>

              <menuitem id="gofh3"></menuitem>

                <div id="gofh3"></div>
                <dl id="gofh3"><ins id="gofh3"></ins></dl>

                  <menuitem id="gofh3"><ruby id="gofh3"></ruby></menuitem>

                      <div id="gofh3"><ol id="gofh3"></ol></div>

                      <menuitem id="gofh3"></menuitem>

                        <div id="gofh3"></div>
                        <dl id="gofh3"><ins id="gofh3"></ins></dl>