Pull to refresh
10
Karma
0.1
Rating
Дмитрий @dso

Software Engineer

  • Followers 1
  • Following

Концепт — как усилить защиту паролей «12345» от bruteforce атаки (попытка вторая)

Information Security *Website development *
Updated: попытка снова неудачна.

Всегда хотелось, чтобы хакер не мог взломать перебором чужой пароль на сайте.
Например, если пользователь похвастается хакеру, что его пароль состоит только из цифр, то скоро пользователь потеряет свой аккаунт.

А как быть, если пользователь сообщил по телефону свой пароль жене, а хакер его услышал?

Что?! Хакер знает пароль? Все, это фиаско. Можно ли помочь такому пользователю усложнить угон его аккаунта? Меня всегда волновал этот вопрос и, кажется, я нашел способ как это сделать. Или переоткрыл его, как это часто бывает. Ведь все уже давно придумано до нас.

Вводная


  • Пользователь хочет на сайте иметь пароль «12345».
  • Хакер может легко подобрать этот пароль.
  • Но пользователь должен войти, а хакер нет. Даже если логин и пароль хакеру известны.
  • и никаких SMS с секретными кодами и посредниками в виде дополнительных сервисов. Только пользователь и ваш сайт со страницей логина.
  • а еще можно будет сравнительно безопасно в троллейбусе сказать своей жене: «Галя, я на сайте site для нашего логина alice поменял пароль на 123456 — говорят, он более популярный, чем наш 12345». И не бояться, что аккаунт взломают за секунду.

Как работает метод? Вся конкретика — под катом.
Читать дальше →
Total votes 18: ↑9 and ↓9 0
Views 7.1K
Comments 31

Как усилить защиту паролей «12345» от brute-force атаки

Algorithms *
Sandbox
Объект: веб-форма входа в систему.
Дана задача: усилить защиту аккаунта пользователя от подбора простого пароля к его аккаунту, используя минимум средств.

Что такое минимум средств? Это не использовать таблицы-справочники для блокировки по IP-адресу и User-Agent. Не использовать лишние запросы к системе, не захламлять систему авторизации лишними циклами.

И, выполнить совершенно волшебное требование — даже если бот введет нужные логин и пароль… не дать ему войти, а вот реального пользователя впустить.

Можно ли так сделать? В теории, конечно, нет. Но в практике, в частном порядке и при определенных условиях, как оказалось, весьма возможно.
Приглашаю под кат за подробностями.
Читать дальше →
Total votes 44: ↑25 and ↓19 +6
Views 30K
Comments 52

Information

Rating
3,340-th
Location
Киев, Киевская обл., Украина
Date of birth
Registered
Activity