倾家荡产、隐私全无？独家揭秘撞库攻击( 三 ) _撞库攻击

在账户相关接口加强人机防控策略。

这里的接口主要包括登录、注册、找回密码、获取短信验证码等，“人机防控”指的是将这些接口中“机器”的访问请求和“真实的人”区别出来，在文章开头我们已经讲过，真实情况下攻击者几乎没有手动实施攻击的情况，如果能将大部分针对账号的“机器流量”识别出来并拦截，会是安全水位很大的一个提升。从技术手段来说，常见的有使用验证码、封禁高频请求的 IP/会话、部署人机识别的 SDK 组件等等。

重要业务流程采用二次验证。

如转账前通过人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操作来自账号拥有者。

建立业务维度的账户异常指标监控，并及时处理风险账号。

区别于“人机”的技术手段，这里主要是从业务角度（比如高频发帖、异常转账等等），对一些行为上不正常的账号进行监控和处罚，作为技术防控的补充。

借助安全工具做好防撞库攻击。

如果遇到撞库等账户安全问题的困扰，又没有足够专业的团队或精力来按照上述建议进行对抗，建议选择一款合适的安全工具来应对。一般来说，Web 应用防火墙（WAF）就能有效应对撞库攻击。以阿里云 WAF 为例，其内置了内置撞库、暴力破解、垃圾注册、流量基线、弱口令检测等多个检测模型，多种形式的人机检测组件，以及针对 APP 的安全 SDK 能力，还可以基于异常行为、时序、攻击手法、团伙画像等多维度识别恶意爬虫，做到实时防护。从这个角度来看，对于企业来说，选择一款功能丰富强大的安全工具往往可以起到事半功倍的效果。
结语
有人的地方就有江湖，有账号的地方就有撞库。密码制度本身因安全需求而生，却也带来了撞库这类的风险。我们相信，未来密码会越来越多的被其他体验更好、安全性更高的身份校验方式所取代，而这些方式或许又存在隐私、合规相关的问题。最好的方案似乎永远要在安全、便利、隐私这几个因素之间互相平衡。着眼于当下，用户名/密码的形式依然主导着绝大多数站点的账号管理方式，因此以撞库攻击为代表的账号安全问题依然需要引起个人用户和企业的足够重视。希望本文能够给您带来一些参考和帮助，共同建设更安全的互联网！