| imho.ws |
|
|
21.06.2004, 18:15
|
# 23 |
|
::VIP::
Регистрация: 12.11.2002
Адрес: Nicosia, Cyprus
Сообщения: 1 285
   |
PASHAN
Получение действующего логина/пароля путем прямого перебора вариантов
__________________
"If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti |
|
|
21.06.2004, 18:17
|
# 24 |
|
мод
IMHO Кодер-200(6,7,8) Регистрация: 29.03.2003
Адрес: Saint-Petersburg, Russia
Пол: Male
Сообщения: 2 734
 |
брутфорс - это прямой перебор паролей.
http://adelaida.by.ru/manual/program...fors_perl.html И если честно, я так и не понял, в чем же заключается эта "сложность защиты"???
__________________
Я делаю Линукс! Присоединяйтесь к свободным людям! Связаться со мной всегда можно по джабберу: Hubbitus@jabber.ru Pahan-Hubbitus. |
|
|
|
21.06.2004, 21:32
|
# 26 |
|
::VIP::
Регистрация: 12.11.2002
Адрес: Nicosia, Cyprus
Сообщения: 1 285
|
PASHAN
Простейшие варианты борьбы: 1. Давать несколько попыток ввода пароль, затем блокировать аккаунт на некоторое время. К примеру, после 5 ошибки блокировать на 15 минут. Это сделает брутфорс невозможным. 2. Несколько усложненный предыдщий вариант - после каждой последующей ошибки увеличивать время задержки до следующего ввода. К примеру, первые три попытки идут без задержки, затем делается задержка в 10 секунд, при следующей ошибке - 20 секунд и т.д. После 10-20 неверных угадываний задержка вырастет настолько, что опять же перебор будет невозможен. 3. Можно использовать ту же Visual Captcha и т.п. - т.е. рядом с окошком ввода пароля выводится в графическом виде некий зашумленный текст, который пользователь также должен ввести. Роботам его распознать достаточно сложно => они не смогут логиниться.
__________________
"If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti |
|
|
|
22.06.2004, 18:05
|
# 28 |
|
::VIP::
Регистрация: 12.11.2002
Адрес: Nicosia, Cyprus
Сообщения: 1 285
|
PASHAN
Сохраняешь в файле или БД число ошибок, время последнего доступа и т.п. При ошибке делаешь инкремент числа, если при попытке доступа число ошибок больше критического, проверяешь, сколько прошло времени, и в зависимости от этого запрещаешь доступ без дальнейших проверок или сбрасываешь счетчики и по новой. Думаю, сам напишешь.
__________________
"If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti |
|
|
|
22.06.2004, 18:25
|
# 29 |
|
Guest
Сообщения: n/a
|
Saruman
3-й способ - это гемморой для пользователя. При частых логинах набирать случайный текст с картинки не самое интересное занятие... Самый оптимальный способ борьбы с брутфорсом - это все-таки подсчет количества попыток логина, и после 3-5 неправильной - установка таймаута и при этом можно еще отправить уведомление пользователю на мыло об этом. Также, после множества неверных попыток логина нужно предложить юзеру все таки воспользоваться сервисом смены пароля. В противном случае аккаунт блокируется на более долгое время (12-24 часа)... |
|
22.06.2004, 18:39
|
# 30 |
|
::VIP::
Регистрация: 12.11.2002
Адрес: Nicosia, Cyprus
Сообщения: 1 285
|
D1g174LM4n14c
Дык мы тут, вообще-то, вопросы юзабилити пока и не рассматриваем, посколько не имеем конкретной задачи применения авторизации. И что в одних случаях геморрой - в других есть оптимальное решение.
__________________
"If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti |
|
|
|
22.06.2004, 19:10
|
# 32 |
|
::VIP::
Регистрация: 12.11.2002
Адрес: Nicosia, Cyprus
Сообщения: 1 285
|
D1g174LM4n14c
Captcha практически 100% помогает от регистрирующихся ботов. Если это важно - то никакие таймауты ее не заменят.
__________________
"If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti |
|
|
|
22.06.2004, 19:23
|
# 34 |
|
::VIP::
Регистрация: 12.11.2002
Адрес: Nicosia, Cyprus
Сообщения: 1 285
|
D1g174LM4n14c
Не вижу разницы. Я могу нарегить вручную пару десятков аккаунтов, а потом натравить на них бота по готовой базе логинов/паролей.
__________________
"If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti |
|
|
|
22.06.2004, 20:04
|
# 36 |
|
::VIP::
Регистрация: 12.11.2002
Адрес: Nicosia, Cyprus
Сообщения: 1 285
|
RaZEr
Как раз таки от простого перебора паролей прекрасно защитят и обычные таймауты. Как ты будешь брутфорсить, если у тебя после 20-30 попыток будут задержки по 5 минут между попытками? Так что защититься от подбора паролей не проблема.
__________________
"If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti |
|
|
|
22.06.2004, 20:16
|
# 38 |
|
::VIP::
Регистрация: 12.11.2002
Адрес: Nicosia, Cyprus
Сообщения: 1 285
|
RaZEr
На айпи можно таймауты ставить, кроме логинов. Если он при этом лезет еще и с разных ip - уже другой вопрос. Но в любом случае, это достаточно затрудняет процесс. Сколько у тебя лист проксей, 5000, допустим? А сколько нужно перебрать вариантов паролей? Вот и считай.
__________________
"If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti |
|
|
|
22.06.2004, 20:23
|
# 39 |
|
Guest
Сообщения: n/a
|
Saruman
А смысл?  Ты САМ зарегистрируешь аккаунты и САМ будешь их ломать? При регистрации captcha нужна. А при логине - нет. Хватит установки таймаута. Это явно понятно. Таким образом аккаунты боты плодить не смогут и подбирать пароли - тоже. Здесь речь идет о ВЗЛОМЕ аккаунта брутфорсом, где таймаут защитит очень удачно. |
|
22.06.2004, 20:28
|
# 40 |
|
::VIP::
Регистрация: 12.11.2002
Адрес: Nicosia, Cyprus
Сообщения: 1 285
|
D1g174LM4n14c
А что, единственное, что можно делать с аккаунтами - это их ломать? 8)) Тогда действительно все это совершенно не нужно 8))
__________________
"If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti |
|
|
