摘要：信息安全飞速发展，企业安全建设更是让很多企业感到迷茫，作为甲方的一员，分享唯品会安全建设的一些心得体会。回顾发展历程，安全从无到有，从救火到业务不可或缺一环的转变过程，是什么促使形成这些改变。

撞库扫号攻击已经是Top 10 Security Risks for 2014之一，不管你的网站密码保存的额多好，但是面试已经泄露的账号密码，撞库扫号防御还是一个相当重要的环节。之前一篇普及了扫号的基本防止防范和危害。

本篇讲详细解决面对技术同步在进步的黑色产品如何更好地防止撞库扫号。由于涉及相关内部策略，也只是抛砖引玉。

何为扫号（黑产术语），通俗讲就是拿别人网站的数据库，尝试当前想要破解用户账户的网站。

自从csdn的明文600万，到猫扑，天涯，多玩，7k7k等陆续爆出密码，扫号大军慢慢从地下逐步显现出来。已然成为当前账户安全的第一大杀手。没错，是第一。

诚然支付宝数据库再严密，也无法抵挡账户被扫的命运。