Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

Подскажите оптимальный вариант защиты от перебора паролей к аккаунту

47K
11 марта 2010 года
vol-jin
5 / / 25.06.2009
В данный момент делаю так:

Получаю пароль и логин $_GET.

$IP=$_SERVER['REMOTE_ADDR'];

SELECT на такой $IP в таблице попыток входа.

если нет то добавляю $IP, DATETIME1(sysdate()), DATETIME2(sysdate()), LOGIN_COUTER(1) .

если есть то проверяю LOGIN_COUNTER и DATETIME2(sysdate())
если LOGIN_COUNTER меньше 10 то LOGIN_COUNTER++;
если больше то $Bye=1;

если $bye == 0 то
SELECT в таблице на предмет такой связки.
если нету то сообщение мол "не правильно введен логин или пароль".

если $bye =1 то сообщение "попробуйте через 2 минуты + DATETIME2 +2минуты

Это нормально?)
какие минусы и плюсы, или посоветуйте как лучше сделать
13
11 марта 2010 года
RussianSpy
3.0K / / 04.07.2006
Гораздо проще поставить капчу и требовать от пользователей определенный уровень сложности паролей (не менее 6 знаков например, наличие букв в обоих регистрах и цифр)
56K
04 апреля 2010 года
Craz-z-zy
14 / / 15.03.2010
Вариант чтобы пользователи сами усложняли пароли поддерживаю. Это самое лучшее. Если пароль слабый, то и смылса нет делать навороченную систему защиты от перебора паролей.
Насколько я понял вы хотите предусмотреть случай когда пароль перебирается и как-то ограничить это действие, то можно собирать ip таких пользователей и при n-ой попытке блокировать пользователя.
можно заслать cookie, со сроком действия на определённое кол-во времени.
или установить cookie равное нулю и при каждой ошибке увеличивать cookie.
Если кто-то хочет побаловаться, это точно должно остановить :)
13
04 апреля 2010 года
RussianSpy
3.0K / / 04.07.2006
Цитата: Craz-z-zy
Насколько я понял вы хотите предусмотреть случай когда пароль перебирается и как-то ограничить это действие, то можно собирать ip таких пользователей и при n-ой попытке блокировать пользователя.
можно заслать cookie, со сроком действия на определённое кол-во времени.
или установить cookie равное нулю и при каждой ошибке увеличивать cookie.


Или просто поставить капчу.

307
04 апреля 2010 года
Artem_3A
863 / / 11.04.2008
вообще я не веб программист, но оптимальная защита это:
  • контроль количества неудачных попыток ввода пароля, блокировка на какое то время возможности ввода пароля, подсовывание вопроса "что изображено на картинке?", логирование большого числа неудачных проб с последующим сообщением админу, бан айпишника
  • введение задержки между попытками ввода
  • длинна пароля, чем больше тем выше зашита
и как бы не фиг городить велосипед.:D
13
04 апреля 2010 года
RussianSpy
3.0K / / 04.07.2006
Поскольку вы не веб-программист, то просто скажу вам - вы правы лишь отчасти.
56K
04 апреля 2010 года
Craz-z-zy
14 / / 15.03.2010
Цитата:
Или просто поставить капчу.


Согласен, но лишь отчасти.
Капча против ботов помогает, а если там человек подбирает и не поленится код ввести.
Увидел чувак чей-то пароль, но полностью не запомнил ??? Всякое же бывает.
vol-jin, уточните пожалуйста, защита нужна от ботов или от человека???

13
04 апреля 2010 года
RussianSpy
3.0K / / 04.07.2006
Если увидел чей-то пароль, то это проблема того чей пароль был увиден. Много паролей вручную не переберешь. От силы 60-80 в час.

Максимум можно добавить счетчик неудачных попыток для каждого IP адреса. Но могу сказать, что в подавляющем числе случаев это не нужно.
56K
04 апреля 2010 года
Craz-z-zy
14 / / 15.03.2010
Так это если пароль крепкий, его увидел и сразу не поймешь.
Кстати насчёт IP, можно же через проксю и твой IP уже не твой IP :)
13
04 апреля 2010 года
RussianSpy
3.0K / / 04.07.2006
Цитата: Craz-z-zy
Кстати насчёт IP, можно же через проксю и твой IP уже не твой IP :)



И? Вы думаете, что кто-то здесь не знает про прокси? А еще есть Tor например. В любом случае 100% защиты не существует. Есть лишь способы затруднить задачу для атакущего. Тем более, что в большинстве случаев используется не тупой брутфорс, а социальный инжиниринг и трояны (а иногда и пресловутый терморектальный криптоанализ).

56K
04 апреля 2010 года
Craz-z-zy
14 / / 15.03.2010
Rainbow таблицы туда же. А tor вообще вещь, хорошая система!!! А трояны вообще другая тема. Есть скрипты для определения ботов.
Согласен лучшей защиты нет. Зато мы с вами рассмотрели возможные способы как притормозить этот процесс, а тех кто это плохо знает вообще затормозит.
366
05 апреля 2010 года
int
668 / / 30.03.2005
Цитата: RussianSpy
вручную... 60-80 в час.

Один пароль в минуту? о_О

399
05 апреля 2010 года
KIV
432 / / 20.01.2009
Если пользователь поставил ненадёжный пароль или дал его увидеть кому то другому, то это уже его проблема.

Знаете кого-то, кто может ответить? Поделитесь с ним ссылкой.

Ваш ответ

Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог