九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

黑客通過各種手段（社工/攻擊/交易等）收集互聯(lián)網(wǎng)已泄露的用戶+密碼信息，之后在目標(biāo)網(wǎng)站上嘗試批量登錄，撞運(yùn)氣，試出一批可以登錄的用戶名和密碼。如果用戶圖省事在多個網(wǎng)站設(shè)置了同樣的用戶名和密碼，黑客很容易就會通過已掌握的信息，登錄到這些網(wǎng)站，從而獲得用戶的相關(guān)信息，如：手機(jī)號碼、身份證號碼、家庭住址，支付寶及網(wǎng)銀信息等。進(jìn)而有更多的獲利空間，如：詐騙，盜用，信息被多次交易買賣等。嚴(yán)重時，還可能會導(dǎo)致財產(chǎn)和生命安全。

因大部分的用戶安全意識較為薄弱，且為了記憶方便，使用統(tǒng)一的用戶名和密碼是常見的習(xí)慣，但這就相當(dāng)于給自己打造了一把“萬能”鑰匙，一旦泄漏，則可能導(dǎo)致累及其他帳戶或其他用戶。

撞庫無論對普通用戶還是對其他服務(wù)提供商來說，傷害都是可怕的。舉個例子，之前某電商網(wǎng)站發(fā)生的“抹黑”事件，就是黑客利用“撞庫”方法，“湊巧”獲取到了該電商網(wǎng)站用戶的數(shù)據(jù)(如用戶名+密碼)，然后通過模仿正常用戶的評論，留下了大量差評，導(dǎo)致對正常商家產(chǎn)生了非常惡劣的影響。

2014年3月，攜程因出現(xiàn)技術(shù)漏洞，導(dǎo)致個人信息、銀行卡cw安全碼等信息泄漏

2014年5月，小米被爆用戶資料泄漏，涉及800萬小米論壇注冊用戶信息

2014年8月，多家快遞公司被爆網(wǎng)站存在漏洞遭入侵，有1400萬條個人信息被泄漏

2014年12月，智聯(lián)招聘86萬用戶簡歷泄漏

2014年12月，東方航空大量用戶訂單泄漏

2014年12月底，12306火車訂票網(wǎng)站被人撞庫

……

……

前有古人，后有來者，綿綿不絕，下一個受傷的人又是誰呢？

我們不再敢再有看熱鬧看笑話的心態(tài)了，最后會不會被傷害到，撞庫讓這一切成為可能！

除了撞庫，不得不說的還有拖庫和洗庫

撞庫的基礎(chǔ)是黑客手里需要掌控用戶信息，那么這些信息的源頭來哪里來，這就要說說拖庫了。

和撞庫類似，拖庫也是一個黑客術(shù)語，它指的是黑客入侵有價值的網(wǎng)站，把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為，因為諧音，所以也常被稱作“脫褲”。

在取得大量的用戶數(shù)據(jù)之后，黑客會通過一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈，將有價值的用戶數(shù)據(jù)變成現(xiàn)金以達(dá)到非法獲利的目的。這一過程被稱為“洗庫”。比如：售賣用戶賬號中的虛擬貨幣、游戲賬號、裝備等變現(xiàn)，也就是俗稱的“盜號”；對于金融類賬號，比如：支付寶、財付通、網(wǎng)銀、信用卡、股票的賬號和密碼等，用來進(jìn)行金融犯罪和詐騙；對于一些比較特殊的用戶信息如：學(xué)生、打工者、老板等，則會通過發(fā)送廣告、垃圾短信、電商營銷等方式變相獲利；另外是將有價值的用戶信息直接出售給第三方，如網(wǎng)店經(jīng)營者和廣告投放公司等。比如黑客利用此次獲取的12306帳戶信息做鐵路購票、退票、專賣信息等。

雖說撞庫很難防范，且最關(guān)鍵的是問題是掉鏈子的又不是我?。ut，沒錯，But作為普通用戶，難道就沒有辦法抵抗了嗎？以下有幾個小招，談不上葵花寶典，但減少被撞庫的可能性還是妥妥的。一起來了解一下吧！

★第一招：密碼輕重分離。

重要賬號的密碼要分離。也就是說，日常的賬號基本可以分成兩類：財產(chǎn)類和娛樂類。用戶名都統(tǒng)一其實這個無所謂，最關(guān)鍵在于密碼。對于重要的賬號（如財產(chǎn)類）密碼要分離。娛樂類的賬號可以使用統(tǒng)一的用戶名和密碼。財產(chǎn)類的賬號可以使用各自獨(dú)立又有關(guān)聯(lián)的密碼，即選用相似的密碼規(guī)則方便記憶。比如：財付通的密碼可以是： caiXXXXXX(常用密碼幾位數(shù)字)futong，或cfXXXXXXt，cXXXXXXft，cftXXXXXXdemi，cftXXXXXX1108。類似淘寶的密碼可以是：tbXXXXXXdemi等，只要密碼規(guī)則類似，且主體數(shù)字一致，其實也蠻容易記憶的。親們，可以試試看，據(jù)說用過的都說好。

★第二招：登錄方式要分離。

重要的賬號可以選擇非直接密碼登錄，比如需要驗證手機(jī)或APP動態(tài)密碼/掃描二維碼等方式，真正做到輕重分離，關(guān)鍵賬號為了更安全，體驗可做妥協(xié)和平衡。

★第三招：定期/不定期改密。

這招雖說老生常談，但益處多多，不然也不會那么多公司/企業(yè)都強(qiáng)制要求員工經(jīng)常改密。大家都懂的道理就不再廢話了。

作為服務(wù)的提供者，也許安全措施再嚴(yán)密也難保100%不被拖庫，也難保其他人被拖庫后帶來的連帶影響，比如撞庫掃號等。

說到底還是得有實力來防范撞庫。撞庫的對抗本質(zhì)是人機(jī)的對抗的過程。在策略對抗方面，下面這些思路并不新鮮，但組合起來還是很有效的。

★第一招：彈驗證碼。

可以根據(jù)號碼的屬性和歷史行為分析，當(dāng)發(fā)生可疑登錄時，觸發(fā)不同類型的驗證碼。比如：長驗證碼、短信（微信）驗證碼、中文驗證碼，或其他有交互類/智能類的驗證碼，確保有效對抗驗證碼的自動破解。

★第二招：自動識別異常IP。

目前各大安全公司基本都有建設(shè)和維護(hù)自己的IP信譽(yù)庫，關(guān)鍵時刻，數(shù)據(jù)的積累和刻畫是非常之重要的。黑客雖然可以利用代理等隨機(jī)變換IP，但畢竟不管如何，IP資源也是有限的，我們掌握得越多，黑客可以利用的資源就越少。設(shè)備指紋庫庫思路類似。

★第三招：收集泄露信息，構(gòu)建泄露庫。

好處在于可快速判斷是否屬于撞庫。比如：12306的泄露信息，被用來撞QQ或微信，而并不存在這樣的賬號，這樣的行為多起來的時候則可能是撞庫。

另外，配合異地聚集等策略，如命中歷史密碼比率高的、或密碼錯誤率高的，特別是泄露信息聚集的基本可判斷為撞庫。那么在準(zhǔn)確度極為可信的情況下，直接返回密碼錯誤混淆黑客的耳目也不算暴力，或是采用類似差別驗證碼的思路，需要密碼連續(xù)對N次才放過，或是登錄延時等策略。這樣就可以達(dá)到阻斷撞庫的目的。

截至目前，安全平臺部已收錄各類賬號密碼泄漏信息近10億條。包含且不限于：12306、公積金、如家、七天、攜程、小米、人人網(wǎng)、中華英才網(wǎng)、智聯(lián)招聘等。有了這個黑產(chǎn)泄漏庫，很多對抗和提醒工作，我們會主動很多。

★第四招：短時間內(nèi)多次不同的嘗試。

現(xiàn)在泄露信息流傳之快是難以想象的，一旦被拖庫，可能已有多群黑客拿到數(shù)據(jù)進(jìn)行撞庫，對于熱門的網(wǎng)站或應(yīng)用，一個賬號就有可能出現(xiàn)短時間內(nèi)被多人嘗試的可能。如短時間內(nèi)有不同的人（IP/機(jī)器等標(biāo)識）去嘗試登錄，并且用的是歷史密碼，那么同樣說明撞庫的可能性極高。

★第五招：利用cookie/JS等動態(tài)驗證對抗自動機(jī)撞庫。

驗證參數(shù)是否為空或者缺失或過分一致以便區(qū)別是人還是自動機(jī)。這是比較常見的對抗方法。

以上是安全對抗策略上的思路和方法，那么產(chǎn)品上是否也有可以對抗的空間呢？其實，還是蠻多方法可以考慮的，再一起來看看哈。

◆第一招：主動提醒改密。

產(chǎn)品上可以有定期改密的提醒功能，用戶可以自主設(shè)置，對于易感或已出現(xiàn)在泄露庫中的號碼可以強(qiáng)制設(shè)置較短的時間提醒改密。

另外，泄露庫中的信息可以定期掃描，發(fā)現(xiàn)有可能會被撞的賬號主動提醒改密。

◆第二招：主動提醒更換登錄方式。

同上，比較可以刷臉、指紋、虹膜、APP動態(tài)碼等等，大家都懂不累述。

◆第三招：用戶改密時密碼強(qiáng)度的隱性提醒。

對于已經(jīng)泄露的密碼，均可以提示為弱密碼，不建議用戶改密時再次采用。

◆第四招：用戶賬號被撞后提供及時保護(hù)，主動提醒用戶并鎖定賬號。

容易理解，就不累述。

◆第五招：提供用戶主動上報泄露信息的渠道，以便杜絕后續(xù)連帶風(fēng)險。

如用戶自己發(fā)現(xiàn)自己的密碼泄露，可以有地方上報信息給我們，這樣他的這個信息，我們就可以做些特殊處理，比如申訴中歷史密碼是泄露的密碼，那么結(jié)合其他策略得分降低或清0。

撞庫對抗是場持久的戰(zhàn)役，啥時候被泄露，啥時候被撞庫，都由不得我們的意志，所以，讓用戶參與進(jìn)來共同抵制是長久之道。

江湖險惡，撞庫的確難防。

安全的戰(zhàn)役隨時隨地上演道高一尺魔高一丈的抗?fàn)?，親們，請多多留心，謹(jǐn)慎為要。

防賊防盜還得防撞庫喲！

密碼分離，定期改密！密碼分離，定期改密！密碼分離，定期改密！

重要的事情要說三遍！

別說不容易，各類賬號且用且珍惜，這便是互聯(lián)網(wǎng)的世界，這便是安全的博弈，這便是正義和邪惡的對決！這便是黑遍10億中國人的撞庫大法！