أفضل الممارسات مقابل هجمات كلمة المرور مع webapplications
https://stackoverflow.com/questions/457727
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أرغب في منع روبوتات من اختراق حسابات ضعيفة محمية كلمة المرور. (على سبيل المثال هذا يحدث إلى موقع eBay ومواقع كبيرة أخرى)
لذلك سأقوم بتعيين قيمة مخزنة مؤقتًا (MEM-) مع IP ، ومقدار المحاولات وجدول الزمني للمحاولة الأخيرة (memcache-fall-out).
ولكن ماذا عن برامج الروبوت التي تحاول فتح أي حساب بكلمة مرور واحدة فقط. على سبيل المثال ، يحاول الروبوت جميع 500.000 Useraccounts مع كلمة المرور "Password123". ربما 10 سيفتح.
لذا كانت محاولتي هو مجرد تخزين IP مع المحاولات وتعيين أقصى درجات إلى ~ 50. أود حذفه بعد تسجيل دخول ناجح. لذا فإن البوت الجيد سيقوم بتسجيل الدخول فقط بحساب صالح كل 49 يحاول إعادة تعيين القفل.
هل هناك أي طريقة للقيام بذلك بشكل صحيح؟ ماذا تفعل المنصات الكبيرة حيال هذا؟ ما الذي يمكنني فعله لمنع البلهاء من منع جميع المستخدمين على وكيل مع إعادة المحاولة 50 مرة؟
إذا لم يكن هناك أفضل ممارسات - هل هذا يعني أن أي منصة قابلة للذهاب؟ على الأقل مع تلميح عند إعادة تعيين العدادات؟
المحلول
أعتقد أنه يمكنك مزج الحل مع Captchas:
- عد عدد المحاولات لكل IP
- في حالة وجود الكثير من المحاولات من عنوان IP معين في غضون وقت معين ، أضف أ كابتشا إلى نموذج تسجيل الدخول الخاص بك.
نصائح أخرى
تمنحك بعض المواقع محاولتين أو ثلاث محاولات قبل أن تبدأ تجعلك تدخل Captcha مع اسم المستخدم/كلمة المرور. يزول Captcha بمجرد تسجيل الدخول بنجاح.
كان هناك مقال جيد نسبيا عن ترميز الرعب منذ بضعة أيام.
بينما يركز الرمز على Django ، هناك بعض النقاش الجيد حول أفضل طرق الممارسة على مدونة سيمون ويليسون. يستخدم memcached لتتبع IPS وتسجيل الدخول.
يمكنك استخدام أ مدقق قوة كلمة المرور عندما يقوم المستخدم بتعيين كلمة مروره للتأكد من عدم استخدام كلمة مرور سهلة الغش.
تحرير: لكي تكون واضحًا فقط ، لا ينبغي اعتبار ذلك بمثابة حل كامل للمشكلة التي تحاول حلها ، ولكن يجب النظر فيها بالتزامن مع بعض الإجابات الأخرى.
لن تكون قادرًا أبدًا على منع مجموعة من الروبوتات من تجربة الكثير من عناوين IP المختلفة.
من نفس عنوان IP: أود أن أقول ما إذا كنت ترى مثالًا على السلوك "المشبوه" (اسم المستخدم غير صالح ، أو العديد من الحسابات الصالحة مع محاولات تسجيل الدخول غير الصحيحة) ، ما عليك سوى حظر تسجيل الدخول لبضع ثوان. إذا كان مستخدمًا شرعيًا ، فلن يمانعوا في انتظار بضع ثوان. إذا كان هذا الروبوت ، فسيؤدي ذلك إلى إبطائهم إلى حد كونهم غير عملي. إذا واصلت رؤية السلوك من عنوان IP ، فما عليك سوى حظرها-ولكن اترك بابًا خارج النطاق للمستخدمين الشرعيين (اتصل على هاتف #X ، أو أرسل هذا العنوان بالبريد الإلكتروني).
يرجى الملاحظة: يمكن مشاركة عناوين IP بين الآلاف أو حتى ملايين المستخدمين !!! على سبيل المثال ، يظهر معظم/جميع مستخدمي AOL كمجموعة صغيرة جدًا من عناوين IP بسبب بنية شبكة AOL. معظم مزودي خدمة الإنترنت يخطط لقواعد المستخدم الكبيرة الخاصة بهم إلى مجموعة صغيرة من عناوين IP العامة.
لا يمكنك افتراض أن عنوان IP ينتمي إلى مستخدم واحد فقط.
لا يمكنك افتراض أن مستخدمًا واحدًا سيستخدم عنوان IP واحد فقط.
تحقق من السؤال التالي الذي يناقش أفضل الممارسات ضد القوة الغاشمة والوقود الافتتاحية:
