Cloudflare的帐户接管保护,cloudflare api的用户名-ESG跨境

Cloudflare的帐户接管保护,cloudflare api的用户名

Cloudflare的帐户接管保护。

最终用户账户安全始终是重中之重，但仍是一个棘手的问题。更糟糕的是，很难对用户进行认证。随着违反凭据的数据集变得司空见惯，以及更高级的机器人在网络上爬行并尝试凭据填充攻击，保护和监控身份验证端点已成为注重安全的团队面临的一项挑战。最重要的是，许多身份验证端点仍然只依赖于提供正确的用户名和密码来填充未检测到的凭据，从而导致恶意参与者接管帐户。

Cloudflare平台的许多功能可以帮助实现帐户接管保护。在本文中，我们将介绍几个例子，并宣布一些新功能。其中包括:

打开代理宿主列表(新):确保对您的应用程序的身份验证尝试不是来自代理服务；

超级机器人战争模式(新):让自动流量远离你的认证端点；

暴露的凭据检查(新):每次用户使用损坏的凭据登录时，他都会收到警告。这可用于启动双因素身份验证过程或重置密码。

云接入:通过与第三方OATH服务的轻松集成，增加一个额外的认证层，并通过托管设备的可选实现(新)很快实现；

登录失败的速率限制:停止尝试用强凭据填充应用程序；

当这些功能一起使用时，它们可以成为强大且易于部署的工具，以提高最终用户帐户的安全性。

Cloudflare开放代理列表

2020年7月，我们推出了IP列表，这是一个可重复使用的IP列表，用户可以在编写自定义防火墙规则时创建和维护它。虽然这对于任何防火墙管理员来说都是一个很好的工具，但就像任何用于访问控制的IP列表一样，它很快就会过时。

使用我们新的Cloudflare开放代理管理列表您现在可以编写自定义防火墙规则，并将其与Cloudflare完全管理并定期更新(每小时)的列表相匹配。根据观察到的网络流量和对开放代理端点的主动搜索来填充列表。

新的开放代理托管列表你可以在“帐户主页”→“配置”→“列表”中找到它，或者直接在自定义规则中使用它。

通过在编写自定义防火墙规则时将IP列表与其他过滤器相结合，您可以降低尝试登录到身份验证端点的风险。使用我们的wirefilter语法编写一个利用新列表的规则，如下所示:

然后，根据规则的选择，任何身份验证尝试都将被阻止或质询。

SOCK和代理IP列表适用于所有企业客户。

超级机器人的战斗模式和API滥用检测

端点为机器人提供了登录的机会。坏的机器人通过在几秒钟内测试数千(甚至数百万)个凭证来真正利用时间。这些漫游者将继续存在，直到他们从你的网站中提取一些价值。

好在我们最近发布了《超级机器人战争模式》。这项功能包含在所有Pro和商业计划中，我们已将其与实时分析配对，因此您可以随时观察攻击。超级机器人战斗模式旨在防止凭据填充。在后台，我们正在运行许多与我们的企业机器人管理产品相同的检测引擎。

我们新的超级机器人战斗模式。可以在防火墙→机器人下找到。

最好的部分:你可以马上添加保护。专业用户可以在互联网上选择允许、阻止或挑战确定性机器人。企业甚至可以瞄准“可能的机器人”，这些机器人往往更复杂，更难找到。我们的免费用户可以继续使用机器人战斗模式开关进行基本保护。

暴露凭证检查

凭据填充攻击者试图使用用户名/密码对(用户的凭据)登录目标帐户，该用户名/密码对之前因违反其他一些服务而被盗。不幸的是，这种方法通常是有效的，因为超过50%的用户对多个帐户使用相同的密码——结果，大量的帐户被销毁。因此，您自己的最终用户帐户的安全性不仅取决于您自己系统的安全性，还取决于用户使用的所有其他系统的安全性。虽然多因素身份认证可以提供深度防御，但许多身份认证服务和用户还没有使用它。即便如此，我们仍然希望能够在用户名/密码对为“真”时警告服务及其用户。脆弱。

除了僵尸检测等其他方法之外，业内一种新的最佳实践是让登录服务本身检查其用户凭证是否存在已知的数据漏洞。这需要有一组已知的违规用户名/密码对。“我被盗了”和“谷歌密码泄露警报”等服务汇集了已知被盗用户名/密码对的大型数据库，并允许公司或最终用户查找它们以确定漏洞。然而，集成可能具有挑战性，理想情况下，组织只需按一下按钮就可以打开凭据检查保护。

通过我们的托管规则集，很容易启用公开的凭据检查。此外，您可以编写自己的自定义规则。？？

受Cloudflare保护的任何应用程序的登录请求都通过WAF路由，这为“按路径”公共凭据检查提供了机会。启用后，当进行任何身份验证尝试时，WAF将根据Cloudflare收集和维护的泄漏凭据数据库自动检查终端用户凭据。如果发现匹配，WAF会将头添加到源，以便它可以警告您的应用程序关于易受攻击的凭证，例如，触发该用户的密码重置过程或第二因素身份验证质询。

至少可以说，处理用户名和密码是高度敏感的，我们设计了一个公共凭证检查功能来保护用户凭证。一个关键的设计原则是用户名/密码对绝不能暴露在WAF流程的边界之外，从而确保我们可以在不增加任何其他风险的情况下执行检查。这意味着该函数永远不会在WAF进程1之外传输用户名或密码或记录它，因为我们不想知道这些凭证中的任何一个——只有当它们对您的网络安全构成威胁时才有意义。然而，除此之外，我们还建立了一个加密协议来保护隐私，以执行数据库查找。粗略地说，我们将密钥加密散列函数应用于WAF过程中的用户名/密码对，并检查得到的散列值是否与我们已知的泄露的凭证数据库中的密钥对散列值相匹配。我们将在后续的技术深入讨论中进一步解释这一点。

使用受管设备访问cloud flare

借助Cloudflare Access，您可以在任何受Cloudflare保护的应用程序之前提供额外的身份验证层。Access通过对每个请求验证用户的身份、位置和网络来保护应用程序。这自然增加了最终用户帐户的安全性。

然而，用户使用的设备可能仍然不安全。与受感染设备的有效身份验证会话可能会导致数据泄漏，或者更糟的是，最终用户帐户或应用程序被完全破坏。企业试图通过管理和分发能够通过移动设备管理(MDM)解决方案实施安全策略的公司设备来降低这种风险。

为了解决这个问题，我们正在改进Cloudflare访问，以强制只有公司设备才能访问敏感应用程序。有了访问规则，您现在可以在允许访问之前对照受管设备列表验证设备的序列号。即使用户的凭证被泄露，任何未授权的访问都将被阻止，因为设备的序列号不在被管理设备的列表中。有关更多信息，请参见我们最近的公告。

登录失败的比率限制

暴力攻击惊人地有效，尤其是当反复泄漏凭证数据库时。为了阻止这些攻击，通常只需要将它们减慢到执行起来代价太高的程度。

如果登录尝试失败，许多用户名/密码表单将发出HTTP 403禁止状态代码或其他可识别的错误消息。这可以用作发快递速率限制响应的非常有效的信号，从而避免对合法用户的任何潜在副作用。

上述费率规则限制在一分钟内连续五次失败登录尝试(一小时内)后的任何IP。

可以根据需要定制限速响应，支持基于标准HTML的带JSON payload或endpoint的API。

所有自助服务客户都可以使用费率限制作为所有付费服务。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。