Analizar cómo evitar el relleno de credenciales del sistema
El relleno de credenciales del sistema es el comportamiento de usuarios ilegales que inician sesión en la plataforma de destino a través de contraseñas de cuentas filtradas desde otras plataformas.
Por ejemplo, se produjo el famoso incidente de fuga de contraseña de la cuenta CSDN. Muchas personas involucradas en actividades ilegales toman estas cuentas y luego escriben programas en otras plataformas para simular el inicio de sesión. En realidad, esto tiene una cierta probabilidad de éxito. Porque la mayoría de nuestros usuarios están acostumbrados a establecer la misma contraseña para todas las cuentas de la plataforma. Esto brinda a los usuarios del inframundo una oportunidad que aprovechar.
En segundo lugar, existe otro tipo de relleno de credenciales que no está codificado mediante contraseñas de cuentas filtradas.
Muchos de nuestros usuarios establecerán sus contraseñas en 123456, 000000, 666666 y otras contraseñas. Cuando un usuario ilegal llega a cometer fraude de credenciales, solo necesita intentar iniciar sesión una por una con posibles combinaciones de contraseñas para cada cuenta. Siempre habrá cuentas que serán hackeadas.
Basándonos en el relleno de credenciales anterior, ¿cómo deberíamos solucionarlo?
Los usuarios negros e ilegales simplemente obtienen más información privada de los usuarios mediante el relleno de credenciales o causan pérdidas económicas a los usuarios a través de las vulnerabilidades de la plataforma. Entonces, después de conocer esta "pequeña idea" de los usuarios negros, lo único que queda es encontrar el método correspondiente para bloquear estos dos canales.
Al cambiar la contraseña, verificamos el código de verificación del teléfono móvil del usuario. Después de todo, muchas plataformas ahora exigen números de teléfono móviles vinculantes. En primer lugar, lo exige la ley. En segundo lugar, utilizar un número de teléfono móvil como cuenta no requiere la función de vincular un número de teléfono móvil. Y es fácil registrar su número de teléfono móvil.
Al hacer esto, los usuarios ilegales no pueden cambiar sus contraseñas.
Con el primer paso en el que confiar. Podemos verificar el código de verificación del número de teléfono móvil en el momento adecuado según la importancia del negocio antes de la operación. De esta forma, ¿qué sucede incluso si el usuario ilegal conoce la contraseña?
Cuando iniciamos sesión se registra la dirección IP del usuario. Luego, el código de ubicación de la dirección se obtiene en función de la IP del usuario. La próxima vez que inicie sesión, si el código de ubicación de la dirección cambia. Esto indica que se produjo un inicio de sesión remoto. En este momento, enviamos recordatorios a través de los diversos métodos de contacto del usuario para permitirle cambiar su contraseña de inicio de sesión.
Por ejemplo, si una cuenta no inicia sesión 5 veces al día, se bloqueará. De este modo, incluso este usuario ilegal dispone de decenas de millones de posibles combinaciones de contraseñas. Todavía no se puede descifrar de manera efectiva.
Por ejemplo, el número de tarjeta bancaria del usuario. Como WeChat y Alipay. * Asterisco la información del número de tarjeta del usuario. Como China Merchants Bank, Banco de China, etc. Si desea ver el número de tarjeta completo y la contraseña, ingrese el código de verificación por SMS.
Después de seguir los pasos anteriores. Todavía no podemos garantizar el relleno de credenciales. Sólo podemos garantizar que se minimicen las pérdidas causadas por el relleno de credenciales.
Por ejemplo, una IP y cada cuenta se prueban 5 veces. Entonces, aún podrás probar todas las cuentas. Eso es inaceptable. Por lo tanto, podemos considerar escribir registros de operaciones en ubicaciones especiales en el registro.
La información registrada es la siguiente:
Luego, escribimos un guión para analizarlo periódicamente. Se cumplieron las condiciones de prohibición. Simplemente escriba esta IP en Redis. Y establezca un tiempo de prohibición.
Si no quieres escribir estas condiciones complicadas tú mismo. Se puede utilizar un sistema WAF maduro. De esta forma, configurarlo directamente en el sistema WAF puede identificar de forma inteligente muchos problemas de ataque. No entraremos en detalles sobre WAF aquí. En la actualidad, solo he entrado en contacto con el WAF de Alibaba Cloud. Creo que es bastante bueno. Es un poco caro~~~