对于Cloudflare的每个人来说，帐户安全是我们最重要的任务之一。我们认识到，对于平台上的每个客户，我们都是关键的基础设施。我们还知道，最简单的攻击往往导致最具破坏性的结果。大多数人认为，如果他们要被黑客入侵，那将是一个聪明的"零日"。现实离真相再远不过了。攻击者很聪明，他们意识到即使在2018年，人类仍然是链条中最薄弱的一环。2017年Verizon违规报告指出，81%的与黑客攻击相关的违规行为是由于薄弱的凭证或凭证被盗造成的，较2016年报告的63%有所增加。来源：Verizon 2017年数据泄露报告你的证书和你的房子或汽车钥匙一样重要。如果有人复制或窃取它们，后果可能是灾难性的。如果你怀疑有人能拿到你家的钥匙，你就把门锁换了。如果你不够快，可能有人闯进来。同样，如果你意识到有人可以访问你的密码，补救办法就是更改它。很多时候，就像家里的钥匙一样，我们改变密码的速度很慢。这就是为什么我们看到在像雅虎这样的重大公开违规事件之后，会发生如此多的账户妥协。一旦攻击者从一个漏洞中获得了一个凭据缓存，他们就会立即对用户拥有的每个其他帐户进行尝试。他们知道，仍然有很高比例的用户跨多个站点重用相同的凭据。因此，他们成功的几率很高——有时是在违规行为发生数年后。这对于API密钥尤其有问题，因为它们经常在没有人知道的情况下泄漏。常见的例子包括攻击者通过反转客户端软件窃取API密钥，或在浏览器中使用恶意代码导航和窃取机密—通常在用户注销后很久。一些银行特洛伊木马，如臭名昭著的宙斯甚至在您注销后继续浏览，并显示假余额信息以隐藏其提款。这就是为什么现在许多银行强制您在登录时经常使用2FA重新验证，当您执行任何类型的金融交易时，再次使用2FA进行身份验证。特洛伊木马。（这不是新的攻击）攻击者也意识到了这一点，他们一直在稳步提升自己的游戏，以抓住毫无戒心的用户。攻击者不满足于坐以待毙，而是不断尝试通过欺骗和复杂的软件攻击来获取证书。唯一能把这一切联系起来的东西？他们攻击的是你，而不是数据中心的某个服务器。网络钓鱼网络钓鱼电子邮件仍然是最流行的方法，但他们现在已经演变，从普通的拼写错误的电子邮件要求您的密码或提供一个链接到一些未知的网站。。。常见Cloudflare网络钓鱼电子邮件…更为复杂、专业的假货，这些假货提供复杂的有效载荷，在一次毁灭性的点击中既能收获你的敏感数据，又能破坏你的系统。Cloudflare与大多数安全意识强的公司一样，不会向您发送带您到另一个站点的电子邮件，或要求您提供密码或API密钥的电子邮件。如果您看到一个，请通过支持或我们的虐待过程向我们报告。这样，我们就可以与托管公司、ISP和基础设施提供商合作，拆除背后的系统，压制这场运动。更复杂的Cloudflare网络钓鱼电子邮件恶意软件从网络钓鱼邮件升级，我们现在不得不面对隐藏在无害的日常软件包中的恶意软件，从浏览器扩展到免费游戏。其中最流行和最难检测的是恶意浏览器扩展。通常，这些工具一开始是合法的浏览器工具，然后要么遭到黑客攻击，要么是攻击者简单地购买了一个被遗忘的扩展项目并向其注入恶意代码。现在，你的浏览器可以看到的任何东西，恶意扩展也可以看到。其中最复杂的往往是针对某个特定的机构，他们知道如何悄悄地导航到他们想要窃取的凭证。在过去的几年中，我们看到了一些专门针对Cloudflare客户的产品。下面是一个例子，去年底，一个非常流行的Chrome扩展名为"webdeveloper"。Web Developer for Chrome漏洞警报2017年8月，Chrome扩展的"Web开发者"遭到黑客攻击。攻击者破坏了开发人员的帐户，并修改了0.49版，以包含专门针对Cloudflare用户的恶意负载。注入到扩展中的恶意代码被设计成尽可能的隐蔽性和弹性。首先，它检查以确保安装了至少10分钟。如果它确定海岸线是干净的，它连接到一个机器生成的域名，也称为DGA或"域生成算法"域。这些都是随机出现的域名，实际上是由一种算法生成的，这样就更难找到，如果旧域名被关闭，攻击者可以自动更改到一个新域名，而无需更改任何代码。2017年8月2日，此恶意扩展的DGA域为"wd7bdb20e4d622f6569f3e8503138c859d[.]win"。到8月3日，它已经变成了"wd8a2b7d68f1c7c7f34381dc1a198465b4[.]win"，正如你可以想象的那样，除非你破坏了DGA算法背后的代码，否则很难预测新的域。如果连接成功，它会下载新的有效负载，ga.js公司这是为了愚弄任何看到它的人以为它是在下载谷歌分析。Web Developer恶意版本下载的示例代码它下载的代码非常混乱。这是为了让我们更难发现到底发生了什么。但是，如果你解码它，你会发现，这段代码设计用来拉低更多的恶意负载，比如这个，来导航Cloudflare仪表板站点并检索用户的API密钥。它实际上是等待用户登录到Cloudflare，然后通过在用户背后访问敏感页面来窃取用户的API密钥。有些变体甚至会在用户注销后执行此操作。他们向用户显示一个假的注销页面，然后继续悄悄地窃取帐户的所有秘密。恶意扩展下载的Cloudflare API密钥窃取有效负载。Chrome的webdeveloperforchrome并不是唯一一个在这场战役中受损的扩展。包括其他受损扩展Chrometana–版本1.1.3无限新标签–版本3.12.3CopyFish–版本2.8.5Web Paint–版本1.2.1受影响的社交固定器20.1.1触摸VPNBetternet VPN所有这些扩展都已经更新，但是任何拥有旧版本的人都应该认为自己有风险。这是怎么发生的？当然是网络钓鱼：网络钓鱼邮件发送至Chrome开发者a9t9.com如果你想了解更多这方面的信息，我们在proofpoint的朋友们会对这场活动的所有其他方面进行深入的分析。我们如何保护凭证我们今天要做的是如何储存它们。系统安全我们的系统设计得很安全。在某些情况下，这就像确保敏感数据受到限制一样简单，或者使其完全无法获取。在其他情况下，这意味着要以一种方式构建系统，使其能够抵御广泛的常见攻击。密码我们将用户密码存储在一个安全的数据库中，该数据库使用了一个复杂的咸哈希，该哈希使用基于blowfish的bcrypt（）哈希算法。API密钥我们通过使用AES（Rijndael 256）、SHA256和大量熵来生成它们，从而确保API密钥是唯一的。一旦通过这些哈希算法生成，API密钥也存储在只有少数人可以访问的安全数据库中。我们今天要做的是如何处理凭证。在后端对这些敏感数据库的所有调用都经过审核，并存储在可追溯到Cloudflare最开始的日志中。在最近的一次审计中，我们能够审查并确定2013年为客户生成API密钥的确切时间。对审计日志和关键系统（如我们的数据库）的访问仅限于少数高级生产工程师和安全人员。所有员工的访问权限也会被记录下来，并安全地存储以供审计之用。最后，对这些数据库的所有编程调用都是通过链接到专用帐户的存储过程进行的。不允许使用动态SQL。在途中所有连接都是通过HTTPS进行的，敏感令牌或凭据在传输过程中从不暴露。在用户界面中要访问您的仪表板，您需要您的帐户电子邮件，您的密码，并假设您启用了它，（如果您没有，您真的应该）您的2FA代码。如果所有这些都是正确的，并且您使用的IP是已知使用的IP，则您已登录。如果IP地址未知，我们会向您注册的电子邮件地址发送电子邮件警报，提醒您事件发生。访问仪表板生成的IP警报的屏幕截图如果您的帐户是Pro、Business或Enterprise，则该电子邮件还包含"Multi-Factor Authentication"或MFA代码。在键入此代码之前，将阻止登录尝试。访问仪表板生成的MFA警报确保注册到您的Cloudflare帐户的电子邮件是正确的，并且您可以快速看到它的电子邮件以获得最大的好处。你对警报的反应越快越好！API密钥API密钥是非常敏感的东西。它们的功能和你的密码一样强大，但受益于现代浏览器中相对较少的保护。这就是为什么我们正在深化投资，使我们的API更加安全。我们上周发布的第一个改进是通过在"查看API密钥"功能中添加验证码来保护API密钥不受恶意软件（如恶意浏览器扩展）的攻击。下面是您在尝试访问API密钥时将看到的挑战的屏幕截图。这一变化意味着，即使恶意软件设法窃取你的密码，它也不能轻易地请求和获取你的API密钥。更新"视图