这里的接口主要包括登录、注册、找回密码、获取短信验证码等,“人机防控”指的是将这些接口中“机器”的访问请求和“真实的人”区别出来,在文章开头我们已经讲过,真实情况下攻击者几乎没有手动实施攻击的情况,如果能将大部分针对账号的“机器流量”识别出来并拦截,会是安全水位很大的一个提升 。从技术手段来说,常见的有使用验证码、封禁高频请求的 IP/会话、部署人机识别的 SDK 组件等等 。
如转账前通过人脸识别、指纹声纹、短信/邮件验证码、身份证末位数字验证等机制来确认当前操作来自账号拥有者 。
- 建立业务维度的账户异常指标监控,并及时处理风险账号 。
区别于“人机”的技术手段,这里主要是从业务角度(比如高频发帖、异常转账等等),对一些行为上不正常的账号进行监控和处罚,作为技术防控的补充 。
如果遇到撞库等账户安全问题的困扰,又没有足够专业的团队或精力来按照上述建议进行对抗,建议选择一款合适的安全工具来应对 。一般来说,Web 应用防火墙(WAF)就能有效应对撞库攻击 。以阿里云 WAF 为例,其内置了内置撞库、暴力破解、垃圾注册、流量基线、弱口令检测等多个检测模型,多种形式的人机检测组件,以及针对 APP 的安全 SDK 能力,还可以基于异常行为、时序、攻击手法、团伙画像等多维度识别恶意爬虫,做到实时防护 。从这个角度来看,对于企业来说,选择一款功能丰富强大的安全工具往往可以起到事半功倍的效果 。
结语
有人的地方就有江湖,有账号的地方就有撞库 。密码制度本身因安全需求而生,却也带来了撞库这类的风险 。我们相信,未来密码会越来越多的被其他体验更好、安全性更高的身份校验方式所取代,而这些方式或许又存在隐私、合规相关的问题 。最好的方案似乎永远要在安全、便利、隐私这几个因素之间互相平衡 。着眼于当下,用户名/密码的形式依然主导着绝大多数站点的账号管理方式,因此以撞库攻击为代表的账号安全问题依然需要引起个人用户和企业的足够重视 。希望本文能够给您带来一些参考和帮助,共同建设更安全的互联网!
推荐阅读
-
张柏芝早就被绿了?谢霆锋10年后终于公开女儿,原来王菲早已知晓
-
-
月球|开始行动了!NASA登月联盟在月球上发现水,却将中国排除在外
-
华为荣耀|突然宣布!荣耀营销经理退休,引发网友猜疑
-
-
Logo设计也可以二次元化,说不准某些图标的灵感正是来自于二次元
-
世界上最古老的四种文字分别是什么 世界上最古老的六大文字
-
-
招聘|用招聘网站的后台告诉你,为什么你投了几百份简历,很少有人回复
-
无敌改装车▲RR:Type-RR,最强思域FD2!Mugen
-
张爱玲|张爱玲在晚年崇尚“极简主义生活”,并非穷困潦倒,稿费拿到手软
-
AutoR智驾 逆行外卖小哥、深夜拥堵轻松应对,元戎启行自动驾驶汽车挑战“宇宙最强街道”
-
-
-
三十年体坛故事|7连杀+赛季双杀!上港仍是国安梦魇 御林军争冠梦碎?
-
-
教育部|教育部重要通知,2条升学途径被堵死!家长无语:之前努力白费了
-
妻子伺候二婚丈夫五年,继子来医院探望一趟,妻子含泪提出离婚
-
-
