Cloudflare的帳戶接管保護(hù),cloudflare api的用戶名

Cloudflare的帳戶接管保護(hù)。

最終用戶賬戶安全始終是重中之重，但仍是一個(gè)棘手的問題。更糟糕的是，很難對(duì)用戶進(jìn)行認(rèn)證。隨著違反憑據(jù)的數(shù)據(jù)集變得司空見慣，以及更高級(jí)的機(jī)器人在網(wǎng)絡(luò)上爬行并嘗試憑據(jù)填充攻擊，保護(hù)和監(jiān)控身份驗(yàn)證端點(diǎn)已成為注重安全的團(tuán)隊(duì)面臨的一項(xiàng)挑戰(zhàn)。最重要的是，許多身份驗(yàn)證端點(diǎn)仍然只依賴于提供正確的用戶名和密碼來填充未檢測(cè)到的憑據(jù)，從而導(dǎo)致惡意參與者接管帳戶。

Cloudflare平臺(tái)的許多功能可以幫助實(shí)現(xiàn)帳戶接管保護(hù)。在本文中，我們將介紹幾個(gè)例子，并宣布一些新功能。其中包括:

打開代理宿主列表(新):確保對(duì)您的應(yīng)用程序的身份驗(yàn)證嘗試不是來自代理服務(wù)；

超級(jí)機(jī)器人戰(zhàn)爭(zhēng)模式(新):讓自動(dòng)流量遠(yuǎn)離你的認(rèn)證端點(diǎn)；

暴露的憑據(jù)檢查(新):每次用戶使用損壞的憑據(jù)登錄時(shí)，他都會(huì)收到警告。這可用于啟動(dòng)雙因素身份驗(yàn)證過程或重置密碼。

云接入:通過與第三方OATH服務(wù)的輕松集成，增加一個(gè)額外的認(rèn)證層，并通過托管設(shè)備的可選實(shí)現(xiàn)(新)很快實(shí)現(xiàn)；

登錄失敗的速率限制:停止嘗試用強(qiáng)憑據(jù)填充應(yīng)用程序；

當(dāng)這些功能一起使用時(shí)，它們可以成為強(qiáng)大且易于部署的工具，以提高最終用戶帳戶的安全性。

Cloudflare開放代理列表

2020年7月，我們推出了IP列表，這是一個(gè)可重復(fù)使用的IP列表，用戶可以在編寫自定義防火墻規(guī)則時(shí)創(chuàng)建和維護(hù)它。雖然這對(duì)于任何防火墻管理員來說都是一個(gè)很好的工具，但就像任何用于訪問控制的IP列表一樣，它很快就會(huì)過時(shí)。

使用我們新的Cloudflare開放代理管理列表您現(xiàn)在可以編寫自定義防火墻規(guī)則，并將其與Cloudflare完全管理并定期更新(每小時(shí))的列表相匹配。根據(jù)觀察到的網(wǎng)絡(luò)流量和對(duì)開放代理端點(diǎn)的主動(dòng)搜索來填充列表。

新的開放代理托管列表你可以在“帳戶主頁”→“配置”→“列表”中找到它，或者直接在自定義規(guī)則中使用它。

通過在編寫自定義防火墻規(guī)則時(shí)將IP列表與其他過濾器相結(jié)合，您可以降低嘗試登錄到身份驗(yàn)證端點(diǎn)的風(fēng)險(xiǎn)。使用我們的wirefilter語法編寫一個(gè)利用新列表的規(guī)則，如下所示:

http.request.uri.pathcontains/loginand(notip.srcin$cf.open_proxiesandcf.bot_management.score30)

然后，根據(jù)規(guī)則的選擇，任何身份驗(yàn)證嘗試都將被阻止或質(zhì)詢。

SOCK和代理IP列表適用于所有企業(yè)客戶。

超級(jí)機(jī)器人的戰(zhàn)斗模式和API濫用檢測(cè)

端點(diǎn)為機(jī)器人提供了登錄的機(jī)會(huì)。壞的機(jī)器人通過在幾秒鐘內(nèi)測(cè)試數(shù)千(甚至數(shù)百萬)個(gè)憑證來真正利用時(shí)間。這些漫游者將繼續(xù)存在，直到他們從你的網(wǎng)站中提取一些價(jià)值。

好在我們最近發(fā)布了《超級(jí)機(jī)器人戰(zhàn)爭(zhēng)模式》。這項(xiàng)功能包含在所有Pro和商業(yè)計(jì)劃中，我們已將其與實(shí)時(shí)分析配對(duì)，因此您可以隨時(shí)觀察攻擊。超級(jí)機(jī)器人戰(zhàn)斗模式旨在防止憑據(jù)填充。在后臺(tái)，我們正在運(yùn)行許多與我們的企業(yè)機(jī)器人管理產(chǎn)品相同的檢測(cè)引擎。

我們新的超級(jí)機(jī)器人戰(zhàn)斗模式。可以在防火墻→機(jī)器人下找到。

最好的部分:你可以馬上添加保護(hù)。專業(yè)用戶可以在互聯(lián)網(wǎng)上選擇允許、阻止或挑戰(zhàn)確定性機(jī)器人。企業(yè)甚至可以瞄準(zhǔn)“可能的機(jī)器人”，這些機(jī)器人往往更復(fù)雜，更難找到。我們的免費(fèi)用戶可以繼續(xù)使用機(jī)器人戰(zhàn)斗模式開關(guān)進(jìn)行基本保護(hù)。

暴露憑證檢查

憑據(jù)填充攻擊者試圖使用用戶名/密碼對(duì)(用戶的憑據(jù))登錄目標(biāo)帳戶，該用戶名/密碼對(duì)之前因違反其他一些服務(wù)而被盜。不幸的是，這種方法通常是有效的，因?yàn)槌^50%的用戶對(duì)多個(gè)帳戶使用相同的密碼——結(jié)果，大量的帳戶被銷毀。因此，您自己的最終用戶帳戶的安全性不僅取決于您自己系統(tǒng)的安全性，還取決于用戶使用的所有其他系統(tǒng)的安全性。雖然多因素身份認(rèn)證可以提供深度防御，但許多身份認(rèn)證服務(wù)和用戶還沒有使用它。即便如此，我們?nèi)匀幌Ｍ軌蛟谟脩裘?密碼對(duì)為“真”時(shí)警告服務(wù)及其用戶。脆弱。

除了僵尸檢測(cè)等其他方法之外，業(yè)內(nèi)一種新的最佳實(shí)踐是讓登錄服務(wù)本身檢查其用戶憑證是否存在已知的數(shù)據(jù)漏洞。這需要有一組已知的違規(guī)用戶名/密碼對(duì)。“我被盜了”和“谷歌密碼泄露警報(bào)”等服務(wù)匯集了已知被盜用戶名/密碼對(duì)的大型數(shù)據(jù)庫，并允許公司或最終用戶查找它們以確定漏洞。然而，集成可能具有挑戰(zhàn)性，理想情況下，組織只需按一下按鈕就可以打開憑據(jù)檢查保護(hù)。

通過我們的托管規(guī)則集，很容易啟用公開的憑據(jù)檢查。此外，您可以編寫自己的自定義規(guī)則。？？

受Cloudflare保護(hù)的任何應(yīng)用程序的登錄請(qǐng)求都通過WAF路由，這為“按路徑”公共憑據(jù)檢查提供了機(jī)會(huì)。啟用后，當(dāng)進(jìn)行任何身份驗(yàn)證嘗試時(shí)，WAF將根據(jù)Cloudflare收集和維護(hù)的泄漏憑據(jù)數(shù)據(jù)庫自動(dòng)檢查終端用戶憑據(jù)。如果發(fā)現(xiàn)匹配，WAF會(huì)將頭添加到源，以便它可以警告您的應(yīng)用程序關(guān)于易受攻擊的憑證，例如，觸發(fā)該用戶的密碼重置過程或第二因素身份驗(yàn)證質(zhì)詢。

至少可以說，處理用戶名和密碼是高度敏感的，我們?cè)O(shè)計(jì)了一個(gè)公共憑證檢查功能來保護(hù)用戶憑證。一個(gè)關(guān)鍵的設(shè)計(jì)原則是用戶名/密碼對(duì)絕不能暴露在WAF流程的邊界之外，從而確保我們可以在不增加任何其他風(fēng)險(xiǎn)的情況下執(zhí)行檢查。這意味著該函數(shù)永遠(yuǎn)不會(huì)在WAF進(jìn)程1之外傳輸用戶名或密碼或記錄它，因?yàn)槲覀儾幌胫肋@些憑證中的任何一個(gè)——只有當(dāng)它們對(duì)您的網(wǎng)絡(luò)安全構(gòu)成威脅時(shí)才有意義。然而，除此之外，我們還建立了一個(gè)加密協(xié)議來保護(hù)隱私，以執(zhí)行數(shù)據(jù)庫查找。粗略地說，我們將密鑰加密散列函數(shù)應(yīng)用于WAF過程中的用戶名/密碼對(duì)，并檢查得到的散列值是否與我們已知的泄露的憑證數(shù)據(jù)庫中的密鑰對(duì)散列值相匹配。我們將在后續(xù)的技術(shù)深入討論中進(jìn)一步解釋這一點(diǎn)。

使用受管設(shè)備訪問cloud flare

借助Cloudflare Access，您可以在任何受Cloudflare保護(hù)的應(yīng)用程序之前提供額外的身份驗(yàn)證層。Access通過對(duì)每個(gè)請(qǐng)求驗(yàn)證用戶的身份、位置和網(wǎng)絡(luò)來保護(hù)應(yīng)用程序。這自然增加了最終用戶帳戶的安全性。

然而，用戶使用的設(shè)備可能仍然不安全。與受感染設(shè)備的有效身份驗(yàn)證會(huì)話可能會(huì)導(dǎo)致數(shù)據(jù)泄漏，或者更糟的是，最終用戶帳戶或應(yīng)用程序被完全破壞。企業(yè)試圖通過管理和分發(fā)能夠通過移動(dòng)設(shè)備管理(MDM)解決方案實(shí)施安全策略的公司設(shè)備來降低這種風(fēng)險(xiǎn)。

為了解決這個(gè)問題，我們正在改進(jìn)Cloudflare訪問，以強(qiáng)制只有公司設(shè)備才能訪問敏感應(yīng)用程序。有了訪問規(guī)則，您現(xiàn)在可以在允許訪問之前對(duì)照受管設(shè)備列表驗(yàn)證設(shè)備的序列號(hào)。即使用戶的憑證被泄露，任何未授權(quán)的訪問都將被阻止，因?yàn)樵O(shè)備的序列號(hào)不在被管理設(shè)備的列表中。有關(guān)更多信息，請(qǐng)參見我們最近的公告。

登錄失敗的比率限制

暴力攻擊驚人地有效，尤其是當(dāng)反復(fù)泄漏憑證數(shù)據(jù)庫時(shí)。為了阻止這些攻擊，通常只需要將它們減慢到執(zhí)行起來代價(jià)太高的程度。

如果登錄嘗試失敗，許多用戶名/密碼表單將發(fā)出HTTP 403禁止?fàn)顟B(tài)代碼或其他可識(shí)別的錯(cuò)誤消息。這可以用作發(fā)快遞速率限制響應(yīng)的非常有效的信號(hào)，從而避免對(duì)合法用戶的任何潛在副作用。

上述費(fèi)率規(guī)則限制在一分鐘內(nèi)連續(xù)五次失敗登錄嘗試(一小時(shí)內(nèi))后的任何IP。

可以根據(jù)需要定制限速響應(yīng)，支持基于標(biāo)準(zhǔn)HTML的帶JSON payload或endpoint的API。

所有自助服務(wù)客戶都可以使用費(fèi)率限制作為所有付費(fèi)服務(wù)。

文章推薦
CDN 是什么,cdn是什么東西
Facebook  產(chǎn)品營銷可不是簡(jiǎn)單的發(fā)個(gè)帖子就好了,facebook需要多長(zhǎng)時(shí)間注冊(cè)用戶達(dá)到一百萬
Facebook海外企業(yè)賬號(hào)怎么開通,facebook怎么申請(qǐng)賬號(hào)
Facebook廣告投放技巧_2,facebook廣告投放教程視頻

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。