近日，繼二次元網站A站發(fā)生用戶信息泄漏事件后，又有一家大型網站的用戶賬戶密碼在暗網被銷售。

6月15日，筆者發(fā)現，前程無憂51Job.com部分用戶信息在暗網上被公開銷售，黑客甚至展示了部分樣本數據，包括郵箱、密碼、真實姓名、身份證號碼、電話等。前程無憂方面已證實，部分用戶賬戶密碼被撞庫，但否認該公司數據被拖庫。

對非業(yè)界人士來說，可能對“撞庫”和“拖庫”比較陌生。到底什么是撞庫?什么又是拖庫?我們又該如何防范這些攻擊的發(fā)生?

一、關于撞庫拖庫

1. 撞庫

撞庫：黑客通過收集互聯網已泄露的用戶+密碼信息，生成對應的字典表，嘗試批量登錄其他網站后，得到一系列密碼組合后可以登錄的用戶。

黑客首先會通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，然后再用字典中羅列的用戶和密碼，嘗試批量登陸其他網站。如果用戶圖省事在多個網站設置了同樣的用戶名和密碼，黑客很容易就會通過字典中已有的信息，登錄到這些網站，從而獲得用戶的相關信息，如：手機號碼、身份證號碼、家庭住址、支付寶、網銀信息等。

2. 拖庫

拖庫：也是一個黑客術語，它指的是黑客入侵有價值的網站，把注冊用戶的資料數據庫全部盜走的行為，因為諧音，所以也常被稱作“脫褲”。

前幾年某知名手機品牌發(fā)生的用戶信息大量泄露事件，其實就是拖庫行為的一個典型案例;在該事件中，用戶名和密碼大量泄露，黑客反過利用這些用戶名和密碼，登錄該品牌服務器，獲得了極其詳細的用戶資料，其中包括用戶的手機號、郵箱甚至通訊錄等。

3. 利益驅動

黑客之所以這么做，就是因為“利益”二字。通過撞庫拖庫，實現對自己的好處，比如獲利、報復等攻擊行為初衷。

二、防范策略

數據擁有者應在數據存儲方案設計之初，既要考慮重要數據存儲的安全，又要考慮數據庫訪問的安全。數據使用者應不斷加強網絡安全意識，確保自身的數據信息的安全。

1. 密碼存儲的防拖庫設計

目前，大多數網站對數據庫中的密碼信息是加密存儲的。常見的有MD5加密，理論上說這種方式是不可逆的，但是這種方式仍然是不安全的，只要枚舉出所有的常用密碼，做成一個索引表，就可以推出來原始密碼，這張索引表也被叫做“彩虹表”。

面對以上風險，主流網站后端數據庫的密碼存儲都在MD5的基礎上進行加鹽;所以不再只保存加密過的口令，而是先將口令和隨機數連接起來然后一同加密，加密后的結果放在口令文件中。

隨著技術的發(fā)展，出現了強認證技術，即二次認證密碼：除了對固有密碼進行加密存儲外，系統(tǒng)還自身生成一個加密密鑰。已廣泛應用在金融行業(yè)及支付行業(yè)，我們使用比較多的有手機短信驗證碼、動態(tài)令牌、Ukey、密鑰文件等形式。

當然，還有很多加密存儲手段，筆者就不一一列舉?？赡?，還有部分網站或系統(tǒng)的密碼數據還是采用明文存儲;在此，筆者希望不要因為你們的省事，而忽視了用戶對你們的信任。

2. 數據庫防護方案

除了對數據存儲的防拖庫設計，對數據庫的數據交互、訪問過程、運維操作進行安全防護，也是降低拖庫風險的有效措施。

(1) 數據交互的防護方案

有能力的企業(yè)根據自身業(yè)務特征、自身IT技術實力，在前端應用與后端數據庫的交互過程中，建議設計統(tǒng)一查詢接口，便于管理和監(jiān)控。

(2) 重要數據信息加密保護方案

可以對數據庫采用軟件加密技術對重要數據進行防提取和防拷貝等，也可以采用專業(yè)的加密設備對重要數據進行加密存儲。

(3) 數據庫運維防護方案

在對數據庫管理與維護的過程中，可以使用專業(yè)的運維防護工具，如數據庫安全網關、堡壘機等。

(4) 數據庫實時監(jiān)測方案

我們還需要對數據庫進行全方位的監(jiān)測，包括訪問情況、數據交互情況、風險操作情況、網絡流量等信息，一旦發(fā)現危險操作可及時處置。

3. 最終用戶的安全意識

我們的生活已經被密碼層層包圍：打開鎖屏手機，需要輸入密碼;打開電腦，需要輸入密碼;上QQ微信聊天，需要輸入密碼;登錄微博論壇購物網站，需要輸入密碼;使用銀行卡支付寶等等，更要需要輸入密碼……每個人都有自己的一套密碼，密碼后面就是我們的重要信息、隱私以及財產，其重要性不言而喻，個人密碼的安全性和被破譯難度將直接影響到用戶的數據與信息安全。因此，為自己的各個賬戶設置一組難以破解的密碼是構筑個人信息安全最重要一步。

但是，千萬不要做以下密碼設置：

• 不要設定密碼為帶有生日、電話號碼、QQ或郵箱等與個人信息有明顯聯系的數據，也不要采用字典中的單詞，原因很簡單，這些都屬于弱密碼。
• 不要在多個場合使用同一個密碼：為不同應用場合設置不同密碼，特別是有關財務的網銀及網購賬戶，避免一個帳戶密碼被盜，其它帳戶密碼也被輕易破解。
• 不要長期使用固定密碼：定期或者不定期修改密碼，安全更有保障。
• 不要將密碼設置得過短：密碼越長，破解的時間也越長。如果不想讓黑客在24小時內能破解你的密碼，密碼長度應該超過14個字符。

可能有的朋友會說“簡單了會被破解，復雜了記不住，那我該怎么設置密碼呢?”

筆者有以下幾點建議：

• 采用文本或表格的方式記錄和保存密碼
• 采用安全的密碼生成器保管密碼
• 設置易記的密保問答
• 盡可能使用平臺提供的多重認證方式，如手機驗證、動態(tài)口令、加密密鑰等

三、結語

不管是對數據的擁有者，還是數據的使用者，都要有安全防范意識。數據擁有者，可以通過風險檢測和風險評估幫助內部數據符合規(guī)范要求;數據使用者不要在非法的網站或軟件里錄入自身的身份信息。