网站应该怎样应对撞库？

[perfectfoolish]

No description provided.

[perfectfoolish]

网友A：一.作为被脱裤方怎样快速响应 1、第一时间分析事故情况，发布公告。 2、通过短信、邮件等方式提示用户尽快修改密码。对于可能存在风险的小部分账号，要求用户立即修改密码。 3、全方面审计公司的安全管理体系和技术方案，对管理流程和技术方案进行完善。 二.作为一个网站被撞库时应该怎么做 其实防范撞库主要靠前期预防，可采取以下办法： 1、图片验证码：适当增加验证码生成的强度，防止破解。 2、异地登陆验证：比如判断下用户的登录IP，是否在常用的地区，如果不是，直接锁定账号，让用户通过手机、邮箱等手段来解锁。 3、自动识别异常ip：如果在一段时间内大批量的登陆，直接被封ip，对于异常的IP，整理一个库，甚至直接禁止这些IP访问网站。

网友B：前天网友E的撞库问题：网站被撞库并不是只靠运维就能够解决的事情，这个需要开发人员和运维人员配合。预防撞库：1.加验证码，这个很损害用户体验。但是你可以与开发人员配合。当密码输错三次的时候就要求输入验证码(验证码必须动态生成，否则HTML5 canvas是可以识别的。推荐使用google reCaptcha)。2.增加相同ip尝试登录多次的限制.　3.运维端增加流量异常监控，因为爆破的时候同一个ip的请求次数会很多。一般的是200次/s　4.开发的时候密码要加salt,加md5。 如果是已经被脱裤，千万要老实的告诉用户。不要说没有关系。先给每一位用户发送一封邮件(说明你们很重视)。并且强制要求用户修改登录密码。运维人员需要立即查看数据库/系统的历史连接记录对于异常IP可以记录报案。如果是大型的数据库下载下来肯定是需要较大流量,运维人员在平时就要随时监控大流量的IP连接 最后,如果用户的信息很重要。希望能够分库存储(分布式数据库)