Przeglądający wątek:
1 Anonimowi
Uncia Hortensis
Rabatka
Ostatnio edytowany przez Fuma dnia 17.01.2014 11:50:49
Myr
Irbis
Bestia
Jak nie zbruteforceuja tu to na forgu. Nazwy kont identyczne, hasło pewnie też, bo kto będzie wymyślał różne hasła do podobnej wagi forów?
Może wydłużenie procesu logowania do sekundy? 3600 prób na godzinę to wystarczające trwanie, a dać obsługę tylko jednego wątku lgowania jednocześnie. Wada: Bruteforce może zablokować lub utrudnić możliwość logowania innym. Za to i tak większość jest zalogowana permanentnie, więc nie będzie to odczuwalne.
Może wydłużenie procesu logowania do sekundy? 3600 prób na godzinę to wystarczające trwanie, a dać obsługę tylko jednego wątku lgowania jednocześnie. Wada: Bruteforce może zablokować lub utrudnić możliwość logowania innym. Za to i tak większość jest zalogowana permanentnie, więc nie będzie to odczuwalne.
Jam jest Toboe, Wyjący Irbis.
Wilk
Zwierzę
Timeout 2 minuty przy błędnym logowaniu jest bez sensu, natomiast timeout 2 sekundy przy *każdym* logowaniu (dobrym czy złym) mógłby działać (tylko kumulacyjnie, per IP).
Bruteforce hasła na 6 małych liter bez specjalnych, cyfr i wielkich, to średnio 150,000,000 prób. Jeśli jesteś w stanie wyrobić 1000 haseł na sekundę, to włamiesz się w ok. 2 dni chyba że admin wcześniej konto zablokuje.
Ale adresu IP nie zmienisz skutecznie 1000 razy na sekundę, przy jednym haśle na dwie sekundy brute force takiego prościutkiego 6-znakowego hasła to już 9 lat pracy. Natomiast 2s opóźnienia przy poprawnym logowaniu nikogo nie zabije.
Bruteforce hasła na 6 małych liter bez specjalnych, cyfr i wielkich, to średnio 150,000,000 prób. Jeśli jesteś w stanie wyrobić 1000 haseł na sekundę, to włamiesz się w ok. 2 dni chyba że admin wcześniej konto zablokuje.
Ale adresu IP nie zmienisz skutecznie 1000 razy na sekundę, przy jednym haśle na dwie sekundy brute force takiego prościutkiego 6-znakowego hasła to już 9 lat pracy. Natomiast 2s opóźnienia przy poprawnym logowaniu nikogo nie zabije.
--sf.
Uncia Hortensis
Rabatka
Inny pomysł:
Nazwy konta osobne od nazwy użytkownika. Obowiązek użycia innego loginu niż nicku sprawi, że nie da się już robić brute force w ciemno.
Tylko nie wiem czy captcha nie będzie łatwiejsza.
P.S.
Czy tylko ja tutaj nie przejmuje się zbytnio czy w ogóle moje konto jest bezpieczne i czy używam silnego hasła na forum o zwierzątkach?
Nazwy konta osobne od nazwy użytkownika. Obowiązek użycia innego loginu niż nicku sprawi, że nie da się już robić brute force w ciemno.
Tylko nie wiem czy captcha nie będzie łatwiejsza.
P.S.
Czy tylko ja tutaj nie przejmuje się zbytnio czy w ogóle moje konto jest bezpieczne i czy używam silnego hasła na forum o zwierzątkach?
Ostatnio edytowany przez Fuma dnia 17.01.2014 11:58:13
Myr
Arachne
Taur
@f159221
Atak słownikowy 100 najczęstszych haseł na 2000 kont to tylko 200000 prób. 400000 sekund. ~5 dni.
Atak słownikowy 100 najczęstszych haseł na 2000 kont to tylko 200000 prób. 400000 sekund. ~5 dni.
Wilk
Zwierzę
oj jeden gość "bruteforceował" hasło 17 razy (na wymagane >100mln) i już mamy kapcze wprowadzać?
Terrorists won.
Terrorists won.
--sf.
PERMABAN
Obowiązkowa zmiana hasła dla wszystkich i wprowadzić przy rejestracji, że format hasła wielka litera-mała-cyfra-znak specjalny i minimum 8 znaków. Albo od razu 24 : P
Uncia Hortensis
Rabatka
I minimum 1 znak chiński.
Myr
Arachne
Taur
- Tylko nie wiem czy captcha nie będzie łatwiejsza.
Będzie.
Nie musicie mi wszystkich propozycji pisać. Od ostatnich 3 dni myślę nad różnymi metodami rozwiązania problemu i sposobach na ich obejście. Wszystkie wasze propozycje już mi przez głowę przeleciały. Captcha jest najprostszą i najlepszą metodą.
Charyzmatyczny Nieznajomy z Imprezy
PERMABAN
Co zaproponował Wons jakiś czas temu xd
Miniaturowy smok
Smok
Tak swoją drogą to też bym wnioskowała o unbana xD. Przynajmniej się coś dzieje na forum i jest jakieś poruszenie, a nie tylko "czego teraz słuchasz" i "yiff dnia" xD
Może jakaś ankieta? :U
Ostatnio edytowany przez Izzy dnia 17.01.2014 12:03:25
<-- "Seksowna, filigranowa antro lisiczka z dużymi piersiami i kształtną pupą pozna jakieś inne sexy futerka...".
Arachne
Taur
No i to, dokładnie to było powodem dla którego miało to u mnie niski priorytet. Ale już zrobił tyle szumu wokół tego, że się ugnę...
Uncia Hortensis
Rabatka
Ara, Ty sobie garniesz bana a nie Toboe.
Bycie głupim bądź irytującym nie jest zabronione. Celowe nawoływanie do sporów, próbowanie na każdym kroku kogoś wyrzucić, obrażanie i wyzywanie. Ty tutaj zachowujesz się jak rozwydrzone dziecko.
Zastanów się nad sobą i bądź dorosłą osobą.
Bycie głupim bądź irytującym nie jest zabronione. Celowe nawoływanie do sporów, próbowanie na każdym kroku kogoś wyrzucić, obrażanie i wyzywanie. Ty tutaj zachowujesz się jak rozwydrzone dziecko.
Zastanów się nad sobą i bądź dorosłą osobą.
Myr
Jaguar
Człowiek
5 błędnych prób, 5 minut na przemyślenie, chyba najprostsze rozwiązanie na brutale
Tygrys z Cheshire
Anthro
PERMABAN
Capcha przy wpisywaniu hasłą? Przecież to bzdura. Tak samo wymaganie nie wiadomo jak skomplikowanych haseł (fraza zadziała lepiej niż hasło np 'dfj%#@#d' - głównie dlatego ze takie hasło jest cholernie trudne do zapamiętania).
Lepszym rozwiązaniem będzie blokowanie możliwości logowania na konto po np. 3 próbach. Blokada na kilka minut. Kolejne nieprawidłowe próby to np. pół godzinki blokady. Dodatkowo na koncie powinna być informacja o liczbie nieudanych logowań, plus najlepiej, żeby system od razu administratorowi wyświetlał takie próby.
Fajny też jest wcześniejszy pomysł umożliwienia ustawienia loginu innego niż nazwa użytkownika.
edit: Tak jeszcze panu wonsowi przypomnę o art 267 KK.
Lepszym rozwiązaniem będzie blokowanie możliwości logowania na konto po np. 3 próbach. Blokada na kilka minut. Kolejne nieprawidłowe próby to np. pół godzinki blokady. Dodatkowo na koncie powinna być informacja o liczbie nieudanych logowań, plus najlepiej, żeby system od razu administratorowi wyświetlał takie próby.
Fajny też jest wcześniejszy pomysł umożliwienia ustawienia loginu innego niż nazwa użytkownika.
edit: Tak jeszcze panu wonsowi przypomnę o art 267 KK.
Ostatnio edytowany przez Ryan dnia 17.01.2014 12:39:46
"Well! I've often seen a cat without a grin," thought Alice; " but a grin without a cat! It's the most curious thing I ever seen in my life!"
Kitsune
Zmiennokształtny
fraza <3 jeden z moich ulubiony typów haseł. do tego zapamiętać frazę i dodatkowe kodowanie cyfrą i znakiem specjalnym i można maszynowo wpisywać hasło.... a bruteforce ew. maszynowy bruteforce nie zadziała.
Wilk
Zwierzę
To ma sens na desktopach i terminalach. W aplikacjach sieciowych kara nierozgarniętych userów a włamywaczom nic nie robi bo zmieni taki swój IP i łamie dalej. Przecież nie zablokujesz na 5 minut możliwości logowania *wszystkim*?
Sens ma "kara" długości zbliżonej do tej potrzebnej na zmianę IP, czyli coś rzędu 2s.
--sf.
Arachne
Taur
- 5 błędnych prób, 5 minut na przemyślenie, chyba najprostsze rozwiązanie na brutale
W jaki sposób realizowana jest blokada? Jeśli po ip to zmiana ip anuluje blokadę. Jeśli po userze to masz DoS legalnemu userowi.
Poza tym jeśli kilka osób jest w sieci za natem to blokada ip jednego blokuje wszystkich. Też może to być wykorzystane jako DoS.
Irbis
Bestia
Inny login od nazwy uzytkownika daje za wiele zamieszania i jest takim samym rozwiązaniem jak wymuszenie dłuższego hasła (wpisz więcej znaków) Do tego ten login byłby u większości w postaci nick1
0
(+0|-0)
Re: Voteban
Wysłano: 17.01.2014 12:41:12
Wysłano: 17.01.2014 12:41:12
Proponuję przenieść rozmowę o bezpieczeństwie do działu technicznego, bo teraz jest w temacie voteban.
Jam jest Toboe, Wyjący Irbis.
Kitsune
Zmiennokształtny
zabezpieczenie konta = spryt użytkownika. A zawsze można odzyskać zresetować hasło w przypadku braku pamięci.
Ostatnio edytowany przez CharlieKitsune dnia 17.01.2014 13:01:35
Irbis
Bestia
"Odzyskać hasło" nie można, a jak można to nie powinno być można.
Jak już to zresetować hasło.
Jak już to zresetować hasło.
Jam jest Toboe, Wyjący Irbis.
Arachne
Taur
Mógłby być ustalany automatycznie z góry i przesyłany razem z linkiem aktywacyjnym na maila. Nie jest to złe rozwiązanie ale jest maksymalnie upierdliwe.
- Sens ma "kara" długości zbliżonej do tej potrzebnej na zmianę IP, czyli coś rzędu 2s.
Tak mi się skojarzyło.
Irbis
Bestia
DarkV, równie dobrze możesz narzucać hasła (praktyka stosowana nieraz w firmach). =]
Może dwuskładnikowe uwierzytelnianie przez maila zamiast sms? Jak masz dostęp do PFa to i do maila z rejestracji.
Edit: ewentualnie takie uwierzytelnianie po 3 nieudanej próbie.
Może dwuskładnikowe uwierzytelnianie przez maila zamiast sms? Jak masz dostęp do PFa to i do maila z rejestracji.
Edit: ewentualnie takie uwierzytelnianie po 3 nieudanej próbie.
Ostatnio edytowany przez Toboe dnia 17.01.2014 12:58:14
Jam jest Toboe, Wyjący Irbis.
Jaguar
Człowiek
Nie ma idealnego rozwiązania, albo wygodnie albo bezpiecznie
Zawsze można przenieść autoryzację na google/facebook/mail i dać tylko opcję żeby nie dało się zalogować przez podanie hasła
Zawsze można przenieść autoryzację na google/facebook/mail i dać tylko opcję żeby nie dało się zalogować przez podanie hasła
Nie możesz rozpoczynać nowych wątków.
Możesz przeglądać wątki.
Nie możesz dodawać odpowiedzi.
Nie możesz edytować swoich postów.
Nie możesz kasować swoich postów.
Nie możesz dodawać ankiet.
Nie możesz głosować.
Nie możesz dodawać załączników.
Nie możesz pisać bez weryfikacji.