Cloudflare的帳戶接管保護,cloudflare api的用戶名

Cloudflare的帳戶接管保護。

最終用戶賬戶安全始終是重中之重，但仍是一個棘手的問題。更糟糕的是，很難對用戶進行認證。隨著違反憑據的數據集變得司空見慣，以及更高級的機器人在網絡上爬行并嘗試憑據填充攻擊，保護和監控身份驗證端點已成為注重安全的團隊面臨的一項挑戰。最重要的是，許多身份驗證端點仍然只依賴于提供正確的用戶名和密碼來填充未檢測到的憑據，從而導致惡意參與者接管帳戶。

Cloudflare平臺的許多功能可以幫助實現帳戶接管保護。在本文中，我們將介紹幾個例子，并宣布一些新功能。其中包括:

打開代理宿主列表(新):確保對您的應用程序的身份驗證嘗試不是來自代理服務；

超級機器人戰爭模式(新):讓自動流量遠離你的認證端點；

暴露的憑據檢查(新):每次用戶使用損壞的憑據登錄時，他都會收到警告。這可用于啟動雙因素身份驗證過程或重置密碼。

云接入:通過與第三方OATH服務的輕松集成，增加一個額外的認證層，并通過托管設備的可選實現(新)很快實現；

登錄失敗的速率限制:停止嘗試用強憑據填充應用程序；

當這些功能一起使用時，它們可以成為強大且易于部署的工具，以提高最終用戶帳戶的安全性。

Cloudflare開放代理列表

2020年7月，我們推出了IP列表，這是一個可重復使用的IP列表，用戶可以在編寫自定義防火墻規則時創建和維護它。雖然這對于任何防火墻管理員來說都是一個很好的工具，但就像任何用于訪問控制的IP列表一樣，它很快就會過時。

使用我們新的Cloudflare開放代理管理列表您現在可以編寫自定義防火墻規則，并將其與Cloudflare完全管理并定期更新(每小時)的列表相匹配。根據觀察到的網絡流量和對開放代理端點的主動搜索來填充列表。

新的開放代理托管列表你可以在“帳戶主頁”→“配置”→“列表”中找到它，或者直接在自定義規則中使用它。

通過在編寫自定義防火墻規則時將IP列表與其他過濾器相結合，您可以降低嘗試登錄到身份驗證端點的風險。使用我們的wirefilter語法編寫一個利用新列表的規則，如下所示:

然后，根據規則的選擇，任何身份驗證嘗試都將被阻止或質詢。

SOCK和代理IP列表適用于所有企業客戶。

超級機器人的戰斗模式和API濫用檢測

端點為機器人提供了登錄的機會。壞的機器人通過在幾秒鐘內測試數千(甚至數百萬)個憑證來真正利用時間。這些漫游者將繼續存在，直到他們從你的網站中提取一些價值。

好在我們最近發布了《超級機器人戰爭模式》。這項功能包含在所有Pro和商業計劃中，我們已將其與實時分析配對，因此您可以隨時觀察攻擊。超級機器人戰斗模式旨在防止憑據填充。在后臺，我們正在運行許多與我們的企業機器人管理產品相同的檢測引擎。

我們新的超級機器人戰斗模式。可以在防火墻→機器人下找到。

最好的部分:你可以馬上添加保護。專業用戶可以在互聯網上選擇允許、阻止或挑戰確定性機器人。企業甚至可以瞄準“可能的機器人”，這些機器人往往更復雜，更難找到。我們的免費用戶可以繼續使用機器人戰斗模式開關進行基本保護。

暴露憑證檢查

憑據填充攻擊者試圖使用用戶名/密碼對(用戶的憑據)登錄目標帳戶，該用戶名/密碼對之前因違反其他一些服務而被盜。不幸的是，這種方法通常是有效的，因為超過50%的用戶對多個帳戶使用相同的密碼——結果，大量的帳戶被銷毀。因此，您自己的最終用戶帳戶的安全性不僅取決于您自己系統的安全性，還取決于用戶使用的所有其他系統的安全性。雖然多因素身份認證可以提供深度防御，但許多身份認證服務和用戶還沒有使用它。即便如此，我們仍然希望能夠在用戶名/密碼對為“真”時警告服務及其用戶。脆弱。

除了僵尸檢測等其他方法之外，業內一種新的最佳實踐是讓登錄服務本身檢查其用戶憑證是否存在已知的數據漏洞。這需要有一組已知的違規用戶名/密碼對。“我被盜了”和“谷歌密碼泄露警報”等服務匯集了已知被盜用戶名/密碼對的大型數據庫，并允許公司或最終用戶查找它們以確定漏洞。然而，集成可能具有挑戰性，理想情況下，組織只需按一下按鈕就可以打開憑據檢查保護。

通過我們的托管規則集，很容易啟用公開的憑據檢查。此外，您可以編寫自己的自定義規則。？？

受Cloudflare保護的任何應用程序的登錄請求都通過WAF路由，這為“按路徑”公共憑據檢查提供了機會。啟用后，當進行任何身份驗證嘗試時，WAF將根據Cloudflare收集和維護的泄漏憑據數據庫自動檢查終端用戶憑據。如果發現匹配，WAF會將頭添加到源，以便它可以警告您的應用程序關于易受攻擊的憑證，例如，觸發該用戶的密碼重置過程或第二因素身份驗證質詢。

至少可以說，處理用戶名和密碼是高度敏感的，我們設計了一個公共憑證檢查功能來保護用戶憑證。一個關鍵的設計原則是用戶名/密碼對絕不能暴露在WAF流程的邊界之外，從而確保我們可以在不增加任何其他風險的情況下執行檢查。這意味著該函數永遠不會在WAF進程1之外傳輸用戶名或密碼或記錄它，因為我們不想知道這些憑證中的任何一個——只有當它們對您的網絡安全構成威脅時才有意義。然而，除此之外，我們還建立了一個加密協議來保護隱私，以執行數據庫查找。粗略地說，我們將密鑰加密散列函數應用于WAF過程中的用戶名/密碼對，并檢查得到的散列值是否與我們已知的泄露的憑證數據庫中的密鑰對散列值相匹配。我們將在后續的技術深入討論中進一步解釋這一點。

使用受管設備訪問cloud flare

借助Cloudflare Access，您可以在任何受Cloudflare保護的應用程序之前提供額外的身份驗證層。Access通過對每個請求驗證用戶的身份、位置和網絡來保護應用程序。這自然增加了最終用戶帳戶的安全性。

然而，用戶使用的設備可能仍然不安全。與受感染設備的有效身份驗證會話可能會導致數據泄漏，或者更糟的是，最終用戶帳戶或應用程序被完全破壞。企業試圖通過管理和分發能夠通過移動設備管理(MDM)解決方案實施安全策略的公司設備來降低這種風險。

為了解決這個問題，我們正在改進Cloudflare訪問，以強制只有公司設備才能訪問敏感應用程序。有了訪問規則，您現在可以在允許訪問之前對照受管設備列表驗證設備的序列號。即使用戶的憑證被泄露，任何未授權的訪問都將被阻止，因為設備的序列號不在被管理設備的列表中。有關更多信息，請參見我們最近的公告。

登錄失敗的比率限制

暴力攻擊驚人地有效，尤其是當反復泄漏憑證數據庫時。為了阻止這些攻擊，通常只需要將它們減慢到執行起來代價太高的程度。

如果登錄嘗試失敗，許多用戶名/密碼表單將發出HTTP 403禁止狀態代碼或其他可識別的錯誤消息。這可以用作發快遞速率限制響應的非常有效的信號，從而避免對合法用戶的任何潛在副作用。

上述費率規則限制在一分鐘內連續五次失敗登錄嘗試(一小時內)后的任何IP。

可以根據需要定制限速響應，支持基于標準HTML的帶JSON payload或endpoint的API。

所有自助服務客戶都可以使用費率限制作為所有付費服務。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。