近日，大麥網遭遇撞庫，導致39位用戶被騙，直接經濟損失高達147萬元。

大家紛紛驚覺，撞庫是什么？居然這么可怕。

其實一直以來，撞庫的危害都存在，撞庫導致的數據泄露并非只此一家，之前有12306被撞庫，泄露10萬條用戶數據，后又有網易郵箱遭遇撞庫，過億郵箱數據泄密。那么撞庫到底是什么呢？怎么防御撞庫呢？

小驗驗帶著滿腔的困惑咨詢了極驗驗證的安全技術大牛極小驗。

小驗驗：

大牛，撞庫是什么呢？

極小驗：

撞庫是黑客攻擊網站，獲取用戶隱私信息的一種技術手段。黑客通過收集互聯網已泄露的信息，特別是已注冊用戶的用戶名和密碼信息，生成對應的字典表。通過自動化腳本程序和字典批量嘗試登錄其他大型網站，得到一系列可用的真實用戶信息。

小驗驗：

互聯網已泄露的信息是怎么來的呢？

極小驗：

信息泄露的來源有很多，比如說有的小網站安全措施不是很到位有很多的漏洞，很容易就被黑客用SQL注入等手段獲得數據庫信息；還比如說黑客會通過釣魚網站，木馬鏈接來騙取用戶信息。通過已經有的用戶信息，包括用戶名和密碼，以及電話號碼等，會有人專門將這些信息搜集起來，整理成一份文件，也就是字典。

小驗驗：

黑客有了字典就能夠撞庫成功了嗎？

極小驗：

當然不是，有了字典還必須要滿足兩個條件才能夠撞庫成功。極小驗我先問你一個問題，你在網上注冊的時候，各個網站是不是都用一套或者兩套相同的用戶名和密碼呀？

小驗驗：

是呀是呀，我比較懶，為了方便記憶，所以很多網站的用戶名和密碼都是一樣的。

極小驗：

這就是了，大部分的網友跟你的情況是一樣的，注冊的很多網站都用同樣的用戶名和密碼，那如果某個小網站被拖庫了，你的用戶名和密碼泄露了，那黑客就可以拿著這一套用戶名和密碼去登錄你注冊過的其他網站，獲取更多你的隱私甚至是財產信息。

小驗驗：

太可怕了，那另一個條件是什么呢？

極小驗：

你想啊，黑客雖然有字典表，但是他并不知道你這一套用戶名和密碼注冊過哪些網站對不對，那他只能夠去嘗試登錄。手動的嘗試登錄太慢，黑客們會利用惡意程序自動批量嘗試登錄。如果網站可以阻止黑客的批量嘗試登錄，那黑客的撞庫計劃不就不能成功了嗎？

小驗驗：

那有什么方法可以防止撞庫呢？

極小驗：

防御撞庫我們需要從兩方面入手

一方面是我們廣大的用戶們要盡量避免所有的網站、應用都使用同一套用戶名和密碼。建議大家可以使用三套及以上用戶名和密碼。將我們注冊的網站和應用分為三個等級，一類是在只會涉及一些無足輕重信息的小網站使用，一類是在會涉及社交信息以及電話號碼的網站和應用使用，最后一類則是在涉及身份證以及財產信息的網站及應用使用。這樣也不會太雜亂，難以記憶又能夠比較好的保護自己的信息。

第二方面就是作為企業我們有責任有義務去保護用戶的信息安全，要從技術上面防止撞庫攻擊。企業防止撞庫，其實無非就是防止黑客通過惡意程序批量嘗試登錄。

具體方法

1. 可以限制同一個IP的請求次數，但是由于IP代理技術的發展，這樣做顯得有些無力。

2. 使用cookie，flash cookie以及帆布指紋等方法 ，也是目前很多網站都會使用的方法，但是cookie也有可能通過技術手段清除掉。

3. 定期強制用戶更換密碼，或者使用獨特的密碼設計。

4. 在登錄模塊使用反圖靈測試，也就是驗證碼，進行人機識別，防止惡意程序批量嘗試登錄。

但是傳統的驗證碼并不安全，因為圖像識別技術的發展，原來的驗證碼也能夠輕易的被黑客通過腳本程序識別，并且速度快，準確率高，根本不具備保護網站的作用。

極驗也正是因為傳統的驗證碼不安全，才提出行為式驗證技術，利用深度學習，機器學習等技術手段，對人和機器的網絡行為進行分析，來判別人機。這種驗證方式利用的是人和程序行為上的區別，程序要完全模擬人類的行為還非常遙遠。

在現階段，網站以及應用要防止撞庫，使用極驗的驗證碼是性價比最高的方法。

小驗驗結語

防守往往比攻擊難，黑客只需要找到一個漏洞就能夠發起攻擊，而我們做安全卻要保證百分之百。我們每一個企業都要盡全力保障用戶信息安全，但是我們每個企業卻不必苛責自己十項全能。聞道有先后，術業有專攻，專業的黑客就交給專業的防守來做，而極驗一直專注于驗證安全領域，我們愿意攜手每一個企業做好驗證安全，抗擊黑產，保障用戶的信息安全。