什么是撞库攻击?
“撞库攻击”(Credential Stuffing Attack),按照中文字面意思理解,即“碰撞数据库”。“数据库”往往存储着大量重要且敏感的数据,比如用户登录网站所需的用户名、密码、手机号等等;“碰撞”则意味着碰运气,不一定成功。最常见的撞库攻击场景是盗号。譬如,攻击者利用一些自动化工具(如脚本)向目标站点相关接口(如登录接口)批量提交大量用户名/密码组合,记录下其中可以成功登录的组合数据完成盗号。由于很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户去尝试登录B网站。
如何防止撞库攻击?
1.尽量不要在多个网站使用相同密码。建议您注册FUTX账户时,不要使用和其他账号相同的密码。如条件允许,也建议您使用单独或非常用邮箱及手机号进行注册。
2.设置更复杂的密码。建议您注册FUTX账户时,不要使用如“123456、111111”等简单密码,而是设置更复杂的密码,例如密码可以包含大小写字母、特殊符号等,且无明显规则,尽量不要包含您的姓名、生日等易被他人获取的信息。
3.定期更换常用密码。建议您定期更改您的FUTX账户密码,如2个月更改一次。
4.除密码外,启用更多身份验证机制。建议您为您的FUTX账户启用谷歌(2FA)验证。