專家教路:如何防禦 Web 身份驗證攻擊
大家有沒有試過被黑客使用Web身份驗證進行攻擊?如果有的話,有沒有想過如何減少攻擊率?筆者知道是無法控制連接應用的人,但要怎麼做才能阻止攻擊,是否需要鎖定使用者的帳戶?
基於Web的密碼攻擊真正的問題是身份驗證,固此我們使用較弱的密碼時很容易便會被黑客透過使用Web進行攻擊及入侵工作,假如大家沒有定期檢測和保護你的Web Server時,你很可能成為被攻擊的目標。根據2014年Verizon資料洩露調查報告稱,35% 的攻擊與Web相關。
筆者通常建議管理人員,必需鎖定對任何form中的身份驗證。例如,當嘗試登入失敗5到10次後,鎖定帳戶幾分鐘,或者自動讓用户重設他們的密碼(例如,通過郵件重新配置)。
你還可以幫助阻止自動化的攻擊,通過要求使用者登入時進行驗證。筆者見過最彈性的Web身份驗證系統是這樣的:它要求使用者點擊圖片,輸入他們的密碼,而每次登錄圖片都會有小小改變位置。這種方法的好處是黑客不能利Macro程序自動嘗試密碼。
Web 應用防火牆(WAF)或入侵防禦系統(IPS)也可以幫忙阻止相關攻擊;但不論如何,只有你才知道什麼方案才最適合企業的系統架構、工作流程及使用者資料。是時候考慮這方面的危機,因為近年來相關的攻擊手法的確愈來愈普遍。