近日，大麥網(wǎng)遭遇撞庫，導(dǎo)致39位用戶被騙，直接經(jīng)濟損失高達147萬元。

大家紛紛驚覺，撞庫是什么？居然這么可怕。

其實一直以來，撞庫的危害都存在，撞庫導(dǎo)致的數(shù)據(jù)泄露并非只此一家，之前有12306被撞庫，泄露10萬條用戶數(shù)據(jù)，后又有網(wǎng)易郵箱遭遇撞庫，過億郵箱數(shù)據(jù)泄密。那么撞庫到底是什么呢？怎么防御撞庫呢？

小驗驗帶著滿腔的困惑咨詢了極驗驗證的安全技術(shù)大牛極小驗。

小驗驗：

大牛，撞庫是什么呢？

極小驗：

撞庫是黑客攻擊網(wǎng)站，獲取用戶隱私信息的一種技術(shù)手段。黑客通過收集互聯(lián)網(wǎng)已泄露的信息，特別是已注冊用戶的用戶名和密碼信息，生成對應(yīng)的字典表。通過自動化腳本程序和字典批量嘗試登錄其他大型網(wǎng)站，得到一系列可用的真實用戶信息。

小驗驗：

互聯(lián)網(wǎng)已泄露的信息是怎么來的呢？

極小驗：

信息泄露的來源有很多，比如說有的小網(wǎng)站安全措施不是很到位有很多的漏洞，很容易就被黑客用SQL注入等手段獲得數(shù)據(jù)庫信息；還比如說黑客會通過釣魚網(wǎng)站，木馬鏈接來騙取用戶信息。通過已經(jīng)有的用戶信息，包括用戶名和密碼，以及電話號碼等，會有人專門將這些信息搜集起來，整理成一份文件，也就是字典。

小驗驗：

黑客有了字典就能夠撞庫成功了嗎？

極小驗：

當(dāng)然不是，有了字典還必須要滿足兩個條件才能夠撞庫成功。極小驗我先問你一個問題，你在網(wǎng)上注冊的時候，各個網(wǎng)站是不是都用一套或者兩套相同的用戶名和密碼呀？

小驗驗：

是呀是呀，我比較懶，為了方便記憶，所以很多網(wǎng)站的用戶名和密碼都是一樣的。

極小驗：

這就是了，大部分的網(wǎng)友跟你的情況是一樣的，注冊的很多網(wǎng)站都用同樣的用戶名和密碼，那如果某個小網(wǎng)站被拖庫了，你的用戶名和密碼泄露了，那黑客就可以拿著這一套用戶名和密碼去登錄你注冊過的其他網(wǎng)站，獲取更多你的隱私甚至是財產(chǎn)信息。

小驗驗：

太可怕了，那另一個條件是什么呢？

極小驗：

你想啊，黑客雖然有字典表，但是他并不知道你這一套用戶名和密碼注冊過哪些網(wǎng)站對不對，那他只能夠去嘗試登錄。手動的嘗試登錄太慢，黑客們會利用惡意程序自動批量嘗試登錄。如果網(wǎng)站可以阻止黑客的批量嘗試登錄，那黑客的撞庫計劃不就不能成功了嗎？

小驗驗：

那有什么方法可以防止撞庫呢？

極小驗：

防御撞庫我們需要從兩方面入手

一方面是我們廣大的用戶們要盡量避免所有的網(wǎng)站、應(yīng)用都使用同一套用戶名和密碼。建議大家可以使用三套及以上用戶名和密碼。將我們注冊的網(wǎng)站和應(yīng)用分為三個等級，一類是在只會涉及一些無足輕重信息的小網(wǎng)站使用，一類是在會涉及社交信息以及電話號碼的網(wǎng)站和應(yīng)用使用，最后一類則是在涉及身份證以及財產(chǎn)信息的網(wǎng)站及應(yīng)用使用。這樣也不會太雜亂，難以記憶又能夠比較好的保護自己的信息。

第二方面就是作為企業(yè)我們有責(zé)任有義務(wù)去保護用戶的信息安全，要從技術(shù)上面防止撞庫攻擊。企業(yè)防止撞庫，其實無非就是防止黑客通過惡意程序批量嘗試登錄。

具體方法

1. 可以限制同一個IP的請求次數(shù)，但是由于IP代理技術(shù)的發(fā)展，這樣做顯得有些無力。

2. 使用cookie，flash cookie以及帆布指紋等方法 ，也是目前很多網(wǎng)站都會使用的方法，但是cookie也有可能通過技術(shù)手段清除掉。

3. 定期強制用戶更換密碼，或者使用獨特的密碼設(shè)計。

4. 在登錄模塊使用反圖靈測試，也就是驗證碼，進行人機識別，防止惡意程序批量嘗試登錄。

但是傳統(tǒng)的驗證碼并不安全，因為圖像識別技術(shù)的發(fā)展，原來的驗證碼也能夠輕易的被黑客通過腳本程序識別，并且速度快，準(zhǔn)確率高，根本不具備保護網(wǎng)站的作用。

極驗也正是因為傳統(tǒng)的驗證碼不安全，才提出行為式驗證技術(shù)，利用深度學(xué)習(xí)，機器學(xué)習(xí)等技術(shù)手段，對人和機器的網(wǎng)絡(luò)行為進行分析，來判別人機。這種驗證方式利用的是人和程序行為上的區(qū)別，程序要完全模擬人類的行為還非常遙遠。

在現(xiàn)階段，網(wǎng)站以及應(yīng)用要防止撞庫，使用極驗的驗證碼是性價比最高的方法。

小驗驗結(jié)語

防守往往比攻擊難，黑客只需要找到一個漏洞就能夠發(fā)起攻擊，而我們做安全卻要保證百分之百。我們每一個企業(yè)都要盡全力保障用戶信息安全，但是我們每個企業(yè)卻不必苛責(zé)自己十項全能。聞道有先后，術(shù)業(yè)有專攻，專業(yè)的黑客就交給專業(yè)的防守來做，而極驗一直專注于驗證安全領(lǐng)域，我們愿意攜手每一個企業(yè)做好驗證安全，抗擊黑產(chǎn)，保障用戶的信息安全。