撞库攻击:一场用户与平台同舟共济的保卫战

2019-03-15 19:42 栏目:经验之谈 来源:网络整理 查看()
最近,一些媒体报道称,一些数字资产交易平台被怀疑与图书馆发生冲突,导致一些用户账户暂时被暂时锁定。幸运的是,从各方的反馈来看,没有用户遭受财产损失。然而,这仍然不可避免地让许多人留下了挥之不去的恐惧。那碰撞攻击到底是什么?为什么碰撞袭击一直困扰着我们?

什么是碰撞攻击?

对于大多数用户来说,碰撞攻击可能是一个非常专业的术语,但实际上它很容易理解。碰撞库是一个黑客,它收集互联网上泄露的用户和密码信息,生成相应的字典表,并尝试批量登录其他网站,以获得一系列可以登录的用户。因为许多用户使用在不同的网站上使用相同的帐户密码,黑客可以通过在A网站上获取用户的帐户来尝试登录B网站。因此,碰撞库可以通过“冒险”攻击简单地理解为黑客,以获得一系列可以登录的用户。

在实际操作过程中,有两个专业操作流程——“去库存”和“清洗库”。在黑客术语中,“拖动库”指的是黑客攻击有价值的网络站点并窃取所有注册用户的数据数据库的行为。在获取大量用户数据后,黑客将通过一系列技术手段和黑色产业链实现有价值的用户数据,这通常被称为“洗涤库”。

黑客将尝试登录其他网站,此步骤称为“冲突库”。由于许多用户现在喜欢使用统一的用户名和密码,“崩溃图书馆”通常会让黑客获益匪浅。

撞库攻击:一场用户与平台同舟共济的保卫战

随着用户数据泄露的黑色产业的不断发展,地下产业链日趋成熟,用户数据可以轻松快速地转换为现金。因此,虽然刑法中明确规定“非法入侵计算机系统”将被判处三至七年徒刑,但越来越多的黑客正在冒险。但对于用户来说,信息的受害者是泄露的,并且根据泄露的信息类型,生活会受到不同程度的影响。

碰撞攻击很常见。

从技术角度来看,碰撞攻击是互联网时代的普遍现象。由于攻击 - 攻击攻击的成本和技术门槛非常低,黑客只需要从论坛下载社交工作库并挂起脚本来实现它。因此,碰撞袭击也困扰着包括英美烟草在内的互联网巨头。

图书馆攻击碰撞引起的用户数据泄漏问题最为荒谬的是京东着名的电子商务平台。 2011年12月27日,WooYun.org发布了由于图书馆攻击冲突而京东商城发布的大量用户帐号和密码。从那时起,在2014年,2015年和2016年(三次),连续三次媒体报道爆料称,京东多次遇到数据库冲突并导致数据库数据泄露。

然而,事实上,京东的数据库没有泄漏,黑客只通过“崩溃图书馆”获得了一些京东用户的数据(用户名和密码)。这样,您几乎可以处理任何网站登录系统。登录不同网站时使用相同用户名和密码的用户相当于给自己一个“主密钥”。一旦丢失,后果可想而知。

阿里巴巴也是一个电子商务平台,但也没有幸免。早在2016年,就有媒体报道称,犯罪团伙利用阿里漏洞获取了约9亿淘宝账户信息,其中存在2059万账户,密码匹配。据警方介绍,该团伙通过自己的黑客入侵软件获得了58个黑客用户名和密码,涉及浙江,江苏,上海,山东,四川,福建,安徽等20多个省份,超过2亿元人民币。

2014年12月25日,12306网站的用户信息在互联网上疯狂传播。根据12306的官方网站,在互联网上泄露的用户信息通过其他网站或渠道流出。据悉,这次泄露的用户数据不低于131,653。这批数据基本上是由黑客通过“崩溃攻击”确认的。

撞库攻击:一场用户与平台同舟共济的保卫战

根据亚太地区碰撞数据库丢失的《,》研究数据显示,由于碰撞,亚太地区企业组织的年度损失在28,469美元至2850万美元之间。根据阿里巴巴内部人士的说法,Ali已经检测到数千次攻击,每次攻击平均有数千次冲突日志记录请求。在日常攻击中,仍有数十种帐户密码组合。 Wandu ......

同一条船上的用户和平台之战

然而,事实是,在我们的日常生活中,重复使用我们的帐户和密码的问题很普遍。

2018年9月,在英国伦敦举行的第21届信息安全大会(ISC2018)信息安全大会上进行的一项调查显示,超过45%的安全参与者反复使用相同的密码。因此,专业人士仍然是一样的,更不用说普通用户了。

许多人在使用自己的电子商务平台,社交媒体注册和其他平台注册时往往使用相同的帐户和密码以便追求方便。但是,当您的网站或社交媒体遇到数据泄露并窃取您的资产时,这种方法极易受到多重损害。

因此,防止冲突攻击是一种需要用户与平台共享相同情况的防御战。

对于普通用户来说,最简单的“傻瓜”方法是准备一本小书并在每个平台和网站上记录您的帐户和密码。每次需要登录时都可以想到不同的密码。使用它的时间。

此外,您可以设置您记住的密码,然后在密码前面或后面添加注册的网站名称。例如,如果您使用“确定”注册帐户,请设置****确定(通用密码+平台ID)。

对于该平台,可以通过增强登录入口识别能力,例如添加图片验证码等,使用多因素身份验证和两阶段身份验证来增强登录入口的安全性,从而有效防止黑客入侵通过代理登录获取用户的个人信息。 。

此外,通过自动识别异常IP模式,它会扫描每单位时间频繁登录的异常IP。对于异常IP,它对一个非常严格的库进行排序,甚至直接禁止这些IP访问网站,从而有效地避免了冲突攻击。

当然,从根本上说,平台需要改变传统的被动安全保护策略,以实现有效的主动防御,阻塞冲突库和其他类似的自动攻击。例如,用于数据存储的反拖车设计,用于数据库数据交互的安全保护,访问过程,操作和维护操作是降低风险的有效措施。

但无论如何,最重要的第一步是让用户提高安全意识。我们每个人都有自己的密码。密码后面是我们的重要信息,隐私和财产。它的重要性是不言而喻的。个人密码的安全性和破译的难度将直接影响用户的数据和信息安全。 。因此,我们必须提高我们的安全意识,并为每个帐户设置一套难以破解的密码,这是构建个人信息安全的最重要步骤。

如何有效防止碰撞?

1.如果您发现自己的帐户可能存在安全风险,请及时重置登录密码,并打开辅助验证方法,如短信验证,Google验证和面部识别。例如,登录数字资产交易平台时,设置手机号码登录验证功能。即使密码泄露,其他用户在登录其他计算机或手机时也会自动填写手机验证码,手机就在您手中。无法获得验证码,因此即使泄露了密码,也不必担心资产的安全性。

2.将与资产相关的平台网站的登录密码与其他网站的密码分开设置。例如,数字资产交易平台的网站设置密码,通常观看电影和下载音乐的网站设置另一个密码。这可以有效降低密码泄露的风险。

3.请勿在网吧等公共场所使用密码存储功能。我们可能经常需要在公共场所使用计算机登录某些应用程序。许多浏览器都有密码存储功能。如果在公共计算机上存储密码是非常危险的,请务必在登录时进行检查。选择不存储密码。同时,如果满足条件,则可以在每次登录公共计算机后清除浏览器记录,或者可以在无缝模​​式下打开浏览器。

微信二维码
售前客服二维码

文章均源于网络收集编辑侵删

提示:币友交流QQ/WX群请联系客服加入!

郑重申明:资讯文章为网络收集整理,官方公告以外的资讯内容与本站无关!
虚拟币开发,虚拟币交易平台开发,山寨币交易平台开发 Keywords: 虚拟币开发 虚拟币交易平台开发 山寨币交易平台开发