Cloudflare的帐户接管保护

小提示：您能找到这篇{Cloudflare的帐户接管保护}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Cloudflare的帐户接管保护内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

Cloudflare平台的许多功能可以帮助实现帐户接管保护。在本文中，我们将介绍几个示例并宣布一些新功能。这些包括：

• 打开代理托管列表（NEW）：确保对您的应用的身份验证尝试不是来自代理服务；

• 超级机器人大战模式（NEW）：让自动流量远离您的身份验证端点；

• 暴露的凭据检查（NEW）：每当用户使用受损的凭据登录时，都会收到一条警告。这可用于启动两因素身份验证流程或重置密码。

• Cloudflare Access：通过与第三方OATH服务轻松集成来添加额外的身份验证层，并很快通过可选实施受管设备（NEW）来实现；

• 登录失败的速率限制：停止对应用程序进行强力凭证填充尝试；

当结合使用这些功能时，这些功能可以成为功能强大且易于部署的工具，以提高最终用户帐户的安全性。

Cloudflare开放代理列表

2020年7月，我们引入了IP列表-用户在编写自定义防火墙规则时可以创建并维护的IP的可重用列表。尽管对于任何防火墙管理员来说，这都是一个不错的工具，就像用于访问控制的任何IP列表一样，它很快就会过时。

使用我们新的Cloudflare Open Proxy Managed列表-您现在可以编写自定义防火墙规则，并与Cloudflare完全管理并定期更新（每小时）的列表进行匹配。该列表是根据观察到的网络流量和对开放代理端点的主动搜索来填充的。

新的Open Proxies托管列表-可以在“帐户主页”→“配置”→“列表”下找到，或直接在自定义规则中使用

通过在编写自定义防火墙规则时将IP列表与其他过滤器结合在一起，可以降低尝试登录身份验证端点的风险。使用我们的wirefilter语法编写一个利用新列表的规则，如下所示：

http.request.uri.path contains "/login" and (not ip.src in $cf.open_proxies and cf.bot_management.score < 30)

然后，根据对规则的选择操作，任何身份验证尝试都将被阻止或挑战。

SOCK和代理IP列表适用于所有企业客户。

超级机器人格斗模式和API滥用检测

登录端点为机器人提供了机会。不良的bot通过在几秒钟内测试成千上万个（甚至不是数百万个）凭据来真正利用时间。这些漫游器将持续存在，直到它们从您的网站中提取招个人代运营了某种价值。

幸运的是，我们最近发布了“超级机器人大战模式”。此功能包含在所有Pro和Business计划中，并且我们已将其与实时分析配对，因此您可以随时观察攻击的发生。超级机器人战斗模式旨在阻止凭证填充。在后台，我们正在运行许多相同的检测引擎，这些引擎为我们的企业机器人管理产品提供了动力。

我们新的超级机器人格斗模式。可以在防火墙→机器人下找到

最好的部分：您可以立即添加保护。专业版用户可以选择允许，阻止或挑战Internet上的“确定性机器人”。商业用户甚至可以针对“可能的机器人”，这种机器人往往更加复杂且难以发现。我们的免费用户可以继续使用Bot Fight Mode开关进行基本保护。

暴露的凭证检查

凭据填充攻击者试图使用用户名/密码对（用户的凭据）登录到目标帐户，该用户名/密码对先前是由于违反某些其他服务而被盗用的。令人遗憾的是，这种方法通常奏效，因为超过50％的用户将相同的密码用于多个帐户-结果是大量的帐户遭到破坏。因此，您自己的最终用户帐户安全性不仅取决于您自己的系统的安全性，还取决于用户使用的所有其他系统的安全性。尽管多因素身份验证可以提供深度防御，但许多身份验证服务和用户尚未使用它，即使如此，当用户名/密码对为“真”时，我们仍希望能够向服务及其用户发出警告。易受伤害的。

除了诸如僵尸程序检测之类的其他方法之外，行业中的一种新的最佳实践是使登录服务自己检查其用户凭据之一是否在已知的数据泄露中。这需要拥有一组已知的违反用户名/密码对。诸如“我已被盗”和“ Google密码泄露警报”之类的服务汇总了已知盗用的用户名/密码对的大型数据库，并允许公司或最终用户进行查找以确定漏洞。但是集成可能具有挑战性，理想情况下，组织只需按一下按钮就可以打开凭据检查保护。

通过我们的托管规则集轻松启用暴露的凭据检查，另外，您可以编写自己的自定义规则。??

Cloudflare保护的任何应用程序的登录请求都通过WAF进行路由，这为“按路径”公开的凭据检查提供了机会。启用后，在进行任何身份验证尝试时，WAF都会根据Cloudflare收集和维护的泄漏凭证数据库自动检查最终用户凭证。如果找到匹配项，则WAF会将标头添加到原点，以便可以警告您的应用程序有关易受攻击的凭据，例如，触发该用户的密码重设流程或第二因素身份验证挑战。

至少可以说，处理用户名和密码是高度敏感的，并且我们已经设计了公开的凭据检查功能来保护用户凭据。一个关键的设计原则是，用户名/密码对绝不应暴露在WAF流程的边界之外，从而确保我们可以执行检查而不会增加任何其他风险。这意味着该功能永远不会在WAF流程之外传输用户名或密码或将其记录1因为我们不希望知道这些凭据中的任何一个-仅在它们对您的网络安全构成威胁的情况下才有意义。但是，除此之外，我们还建立了一个保护隐私的加密协议来执行数据库查找。粗略地说，我们在WAF流程中将密钥加密哈希函数应用于用户名/密码对，并检查结果哈希值是否与我们已知的泄露凭据数据库中的密钥对哈希值匹配。我们将在后续的技术深入探讨中对此进行进一步说明。

使用受管设备进行Cloudflare访问

借助Cloudflare Access，您可以在受Cloudflare保护的任何应用程序之前提供一个附加的身份验证层。Access通过在每个请求上验证用户身份，位置和网络来保护应用程序。这自然增加了最终用户帐户的安全性。

但是，用户使用的设备可能仍然不安全。与受感染设备的有效身份验证会话可能导致数据泄露做引流要多少钱啊，或者更糟糕的是，最终用户帐户或应用程序被完全破坏。企业试图通过管理和发行可通过移动设备管理（MDM）解决方案实施安全策略的公司设备来降低这种风险。

为了解决此问题，我们正在改进Cloudflare Access，以强制只有公司设备才能访问敏感的应用程序。通过访问规则，现在可以在允许访问之前根据受管设备列表来验证设备的序列号。即使要公开用户的凭据，由于设备的序列号不在受管设备列表之内，任何未经授权的访问都将被阻止。有关更多信息，请参阅我们最近的公告。

登录失败的速率限制

蛮力攻击出奇地有效，特别是在迭代泄漏凭据数据库时执行。要阻止这些攻击，通常只需将它们放慢到执行起来过于昂贵的程度即可。

如果登录尝试失败，许多用户名/密码表单将发出H电视广告制作TTP 403禁止状态代码或其他可识别的错误消息。这可以用作发出速率限制响应的非常有效的信号，从而避免对合法用户产生任何潜在的副作用。

以上速率规则限制了在一分钟内连续5次失败的登录尝试（在一小时内）后的任何IP。

可以根据需要自定义速率限制响应，以支持带有JSON负载的API或基于标准HTML的端点。

速率限制可作为所有付费服务供所有自助服务客户使用。