这里的接口主要包括登录、注册、找回密码、获取短信验证码等,“人机防控”指的是将这些接口中“机器”的访问请求和“真实的人”区别出来,在文章开头我们已经讲过,真实情况下攻击者几乎没有手动实施攻击的情况,如果能将大部分针对账号的“机器流量”识别出来并拦截,会是安全水位很大的一个提升 。从技术手段来说,常见的有使用验证码、封禁高频请求的 IP/会话、部署人机识别的 SDK 组件等等 。
如转账前通过人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操作来自账号拥有者 。
- 建立业务维度的账户异常指标监控,并及时处理风险账号 。
区别于“人机”的技术手段,这里主要是从业务角度(比如高频发帖、异常转账等等),对一些行为上不正常的账号进行监控和处罚,作为技术防控的补充 。
如果遇到撞库等账户安全问题的困扰,又没有足够专业的团队或精力来按照上述建议进行对抗,建议选择一款合适的安全工具来应对 。一般来说,Web 应用防火墙(WAF)就能有效应对撞库攻击 。以阿里云 WAF 为例,其内置了内置撞库、暴力破解、垃圾注册、流量基线、弱口令检测等多个检测模型,多种形式的人机检测组件,以及针对 APP 的安全 SDK 能力,还可以基于异常行为、时序、攻击手法、团伙画像等多维度识别恶意爬虫,做到实时防护 。从这个角度来看,对于企业来说,选择一款功能丰富强大的安全工具往往可以起到事半功倍的效果 。
结语
有人的地方就有江湖,有账号的地方就有撞库 。密码制度本身因安全需求而生,却也带来了撞库这类的风险 。我们相信,未来密码会越来越多的被其他体验更好、安全性更高的身份校验方式所取代,而这些方式或许又存在隐私、合规相关的问题 。最好的方案似乎永远要在安全、便利、隐私这几个因素之间互相平衡 。着眼于当下,用户名/密码的形式依然主导着绝大多数站点的账号管理方式,因此以撞库攻击为代表的账号安全问题依然需要引起个人用户和企业的足够重视 。希望本文能够给您带来一些参考和帮助,共同建设更安全的互联网!
推荐阅读
-
-
十点观社会|当事人发声,贵州一男子每天背上万斤猪肉走红
-
我大二,父母买了两盒人参告诉我送老师,但是我实在不想送礼,在宿舍放了一年了,我该拿它咋办
-
「情感马老师」你的身体可能扛不住了,长期熬夜会怎样?当你身体出现5种特征时
-
-
-
-
林威|?67岁知名港星在福建摆摊卖烤串,满是油烟忙前忙后,接地气获围观
-
涉案10万!无饮酒男子深夜遇交警查酒驾却神色慌张,原来……
-
-
发改委等15部门发投资审批事项清单:防止自由裁量权
-
-
在这浮躁、快节奏的生存环境下,你多久没有因为感动、触动而留下眼泪如果有,是啥时候因为啥
-
『悬索桥』重庆参建的世界首座三塔四跨双层钢桁梁悬索桥取得突破性进展
-
startup韩剧剧集网?你觉得创业题材韩剧《启动了》怎么样啊?
-
「9无人机」台湾50亿购4架美制“死神”无人机,《环球时报》:性能差只能充当靶子
-
-
-
杨幂|《密逃4》收官宴:7人团宠杨幂C位,陈伟霆彭昱畅存在感拉满
-