撞库攻击之所以难以防范,与弱口令屡禁不止和不同账户使用同一密码紧密相关。
弱口令是指容易被别人猜测到或被破解的密码,如大家无比熟悉的123456、admin、88888888等。这些弱口令记录在黑客的密码库中,是撞库攻击的基础工具。随着网站、应用的增多,消费者、企业员工为了记住密码,往往会为不同的账户设置同一个密码,一码通用。黑客只要拿到了其中一个账户的密码,就能顺藤摸瓜,黑进所有的账户。
想要防范撞库攻击,先要拿弱口令和一码通用开刀。全面实施多因素认证(MFA),将用户的所知(密码,PIN码,共享密钥)、所持(智能手机,U盾,安全令牌)、所有(指纹、人脸,虹膜)作为认证因子,不但能够提升身份认证的安全性,还能简化登录操作,是公认的防范撞库攻击的有效手段。
如果微软和HPE实施了全局的MFA……这个,嗯,也许,有可能,这两家缺的并不只是一个MFA。
如果它们的身份管理系统能够识别非常用设备登录、短时间密集登录等风险行为,并采取二次认证等措施,黑客就算掌握了密码也难以登录被盗账号。如果它们能提升对账号的权限管理能力,避免过度授权,黑客就无法使用测试账号创建额外的恶意OAuth应用程序。如果它们能实施动态访问控制,监测风险访问行为,自适应执行权限收敛、阻断等访问控制策略,黑客也就无法在内网为所欲为。
所以,想要更好的防范撞库攻击,企业应建立完善的身份安全体系,全面实施MFA,并对每一次业务访问做最小化授权,并基于风险信息做好动态访问控制。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
