互联网企业通常会收集用户的个人行为、财务等敏感数据,身份认证系统可以保护这些数据的安全,防止黑客攻击引起数据泄露。与身份安全关系紧密的有两个词:拖库和撞库。
身份认证系统可以帮助企业防止欺诈行为,例如虚假注册、盗用账号等,保障企业和用户的权益。该系统的具体功能如下。
1)防拖库:是指黑客执行SQL注入等远程数据库读取命令,盗走用户包括密码在内的数据库资料的行为。防拖库事件的关键在于修复可能被黑客利用的安全漏洞或弱点,例如操作系统、网站、应用程序或作业管理流程中存在的漏洞。
2)防撞库:是指黑客利用网上泄露了用户密码的社工库,尝试登录一些大型网站,造成大量用户信息泄露。防撞库主要还是得从账号安全策略入手,比如将账户和用户的常用设备通过SDK关联绑定,对可疑行为进行阻拦。
3)防洗库:是指黑客利用各种手段对获取的数据进行加工和变现,例如将账号密码、手机号码、身份证号码、银行卡号码等进行打包出售。防洗库的关键在于用户不要轻易泄露个人信息,如生日、手机号码、居住地址等。
除了技术能力,对抗身份认证中的各种攻击离不开消费者个体的参与,加强安全意识,例如在快递单上使用昵称等。
身份安全产品主要是通过辅助认证手段增加攻击的复杂性。间接使用经过实人认证的手机号码,通过语音或短信发送的一次性密码(OTP),可以实现双因素认证(2FA),确保只有经过验证的用户才能访问系统或数据。
上海观安等提供了针对业务场景的身份安全解决方案,通过多维度数据分析,对薅羊毛行为、接口异常调用(特别是短信接口攻击)、异常订单等恶意行为进行检测和管控。