Pure Evil
Подробнее
Hey! What's [going on? Sick bastard!
it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Смешные комиксы,веб-комиксы с юмором и их переводы,it humor,geek,comics
Еще на тему
it-юмор geek Комиксы 
Подробнее
Hey! What's [going on? Sick bastard!
it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Смешные комиксы,веб-комиксы с юмором и их переводы,it humor,geek,comics
Подробнее
Hey! What's [going on? Sick bastard!
it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Смешные комиксы,веб-комиксы с юмором и их переводы,it humor,geek,comics
Ты видно не вчитался.
Если пароль правильный и это первая попытка ввести правильный пароль, выдавать "пароль/логин неправильные".
То есть когда брутфорсер, который просто перебирает по очереди пароли, введёт правильный, зайти у него не получится, и он пойдёт дальше перебирать пароли.
А юзер, который пароль знает, просто введёт его второй раз.
Если пароль правильный и это первая попытка ввести правильный пароль, выдавать "пароль/логин неправильные".
То есть когда брутфорсер, который просто перебирает по очереди пароли, введёт правильный, зайти у него не получится, и он пойдёт дальше перебирать пароли.
А юзер, который пароль знает, просто введёт его второй раз.
Ну так это гениально!!! Только надо будет как-то объяснить пользователям, почему не сразу работает - на сайте идёт профилактика.
Ничего не надо объяснять: у пользователя включен CapsLock/лишний пробел/забыл перейти на латиницу. Так поддержка всегда и будет отвечать.
Ох уж этот блядский тысячу раз перезагруженный рутер, но ниправильная без звонка в саппорт, они сразу скажут, что да, видим ваш рутер завис надо ЕЩЁ раз перезагрузить. И вот видите, это ваш рутер глючил, чотвы так переживаете.
А сами в тихую свои маршрутерезаторы ребутают по быстрому...
А сами в тихую свои маршрутерезаторы ребутают по быстрому...
ну и что ты предлагаешь говорить клиенту? ой это мы вам порт хуевый маршрутизатор поставили и он виснет постоянно? или может у него там кз в кабее или в порту пока не передернешь не проходит. клиенту это знать не надо. это ему надо ротуер передернуть.
Ну я бы начал узнавать уровень технической грамотности. И если не прям ламер, то можно и признать, оно же постоянно виснет.
На самомо деле клиенты просто постоянно пиздят, что роутер уже перезагрузили (Ставят себе всякое говно, но упорно думают, что проблема на стороне провайдера). По этому всегда просим ещё раз перезагрузить (Ну нельзя в ебало сказать, что пихдишь ты, я же вижу. Это ведь некультурно).
Даже если роутер - это коробочка от провайдера, в которую оптика вставляется?
Бывают и такие онухи
Как правило дропают сетевую регу на брасе или типа того, а ребут марша просто как доп страховка, вдруг он тоже выпендривается. так сказать 2 зайцев одним выстрелом.
И тут я который вводит пароль при помощи мышки с макросами
Ага, особенно когда пароль вводишь не руками, а копипастом, или через менеджер паролей.
либо начнет вспоминать свой пароль, а когда дойдет до смены пароля получит сообщение что нельзя использовать старый пароль
Кстати, мне кажется, что некоторые так и сделали, например, мой банк, когда я в говно :)
Он в говно? Врубите ту хуйню
Сэр, загрузка началась. Сеть спутников развёрнута на 80%.
Нагрузка на печень? На мочевой пузырь?
В Лиге Легенд так сделали. Первый ввод всегда в отказ.
Скорее у юзера будет реакция "чё, бля?" и пойдёт звонок местному админу "ваш сайт не работает!" "какой у меня пароль?"
Может лучше капчу показать?
Может лучше капчу показать?
За некоторые виды капчи хочется убивать.
Это другой вопрос, к обсуждаемой теме не относится
Какая вероятность, что при брутфорсе именно первая попытка логина будет с правильным паролем?
Я бы написал isPasswordCorrect and isFirstCorrectPasswordAttempt {Error('Wrong logipass')}
Я бы написал isPasswordCorrect and isFirstCorrectPasswordAttempt {Error('Wrong logipass')}
Тут любая попытка : если пароль и пасс правильный - первый раз пиши "нихуя подобного". человек еще раз попробует то-же самое, робот попиздит перебирать дальше.
Это пока не утечёт наружу, что пароль нужно дважды вводить. Перепишут робота, будет по два раза пробовать. Только дольше будет перебирать и всё. Лучше уж тогда сделать несколько паролей. Угадал первый, угадывай теперь второй. И чтобы требования по сложности у этих паролей были разные. А а в промежутках попросить одноразовый код из смс.
и фотку с паспортом и флажком
и данные с анального зонда
режется банальным fail2ban-ом который мониторит доступ к урлу логина. слишком много логинов с одного ип - в jail и досвиданья.
В локалке, допустим, это сработает. Можно ещё сразу отправлять охрану. А из интернета? Писать белый список айпишников? А как быть с тем, что у клиентов не обязательно белый айпи и даже скорее всего серый. Можно спокойно забанить правильного клиента.
fail2ban замечательно работает везде, например на джойреакторе. я однажды просил коку мой ип разбанить, оказалось расширение джоя "визитор" порой спамит в апи и ты ловишь бан. не большой, но как антиспам работает. в дискорде были даже скрины логов fail2ban-а от коки. так что не вижу проблем
Тогда нужно будет клиентов через свой ВиПиЭн цеплять. Бесплатные ВиПиЭн бывает банят.
ну ты же не пожизненный бан выдаёшь. тебе анти-брут или антиспам надо. полчаса-час бана дал и всё, норм.
опять же, это вариант из простейших, дальше уже крутиш в нужном месте. понятно что если у тебя дохрена крупный сайт и его пытаются скрейпить постоянно то fail2ban не решение всех проблем
опять же, это вариант из простейших, дальше уже крутиш в нужном месте. понятно что если у тебя дохрена крупный сайт и его пытаются скрейпить постоянно то fail2ban не решение всех проблем
isFirstLoginAttemt - первая попытка логина, не первая успешная, а первая просто.
Имеется в виду первая попытка ввода правильного пароля
Хуевые названия переменных даже в комиксах, сука.
Брутфорсера проще ловить на переборе (или по атаке по словарю), ввёл X раз пароль неправильный - подожди Y минут.
Или более жёсткий кейс - сброс пароля после X неправильных паролей.
А если идёт вход по скомпрометированной базе, то и вводящий может ещё раз попробовать, особенно если в курсе что такая фича есть. (Такие люди делают несколько фиктивных аккаунтов чтобы понять поведение работы системы, а это легко вычисляется)
Или более жёсткий кейс - сброс пароля после X неправильных паролей.
А если идёт вход по скомпрометированной базе, то и вводящий может ещё раз попробовать, особенно если в курсе что такая фича есть. (Такие люди делают несколько фиктивных аккаунтов чтобы понять поведение работы системы, а это легко вычисляется)
У нас делали не просто задержку, а экспоненциальную. Т.е. второй раз ты уже попробуешь через секунду, третий - через 3 секунды, и так далее. И блокировка аккаунта через 15 подряд неверных попыток.
Причём на экран при вводе пароля пользователю выводится история попыток входа с твоего аккаунта (на глубину последних 5 дней, когда ты пользовался системой), это помогло ловить варианты, когда взлом распределён по времени, некоторые злоумышленники, прежде чем качать данные, вначале после входа должны ознакомится с информационной средой, чтобы понять, где что лежит, и маскировали, а это время, не всё делали сразу.
После введения таких мер, уже 4-е года, не совру - нет фактов взлома через подбор. А на прежней системе они были. У нас абонентская база "сладкая" для конкурентов, потому пытаютися её стянуть перманентно...
Причём на экран при вводе пароля пользователю выводится история попыток входа с твоего аккаунта (на глубину последних 5 дней, когда ты пользовался системой), это помогло ловить варианты, когда взлом распределён по времени, некоторые злоумышленники, прежде чем качать данные, вначале после входа должны ознакомится с информационной средой, чтобы понять, где что лежит, и маскировали, а это время, не всё делали сразу.
После введения таких мер, уже 4-е года, не совру - нет фактов взлома через подбор. А на прежней системе они были. У нас абонентская база "сладкая" для конкурентов, потому пытаютися её стянуть перманентно...
А можно мэйлы тоже в виде хэшей с солью хранить?
а смысл? емейлы бывают нужны сайту не только для логина. их иногда показывают в качестве имени пользователя, генерят тебе же разные ссылки, например на сброс пароля, или mailto:-ссылки, и т.д.
Стащил кулхакер базу, а она вся в хэшах и солёных. И даже мэйлы не получить...
в идеале - ночему бы и нет, на практике - много неудобств себе организуешь. адрес электропочты не такая уж секретная инфа, ты его сам много где оставляешь. лишний раз светить его где-то не хочется, но в общем случае - не критично. у человека как правило не 100500 ящиков, а 1-2, ну 5, и во всех утёкших базах они уже скорее всего есть. тут скорее "неприятна" связка сайт-ящик. а вот пароль должен быть солёным, да
А что по хэшам, есть вроде какие-то, что брутить почти невозможно из-за ужасно долгой генерации..... Или все забили и просто SHA256?
в идеале - радужные таблицы, но соль ломает такой расклад
в теории - большая пачка 4090 (или даже серверных A-серии) сломает хеш, возможно даже быстро
на практике - к тебе приедут с паяльником, если прям сильно надо
в теории - большая пачка 4090 (или даже серверных A-серии) сломает хеш, возможно даже быстро
на практике - к тебе приедут с паяльником, если прям сильно надо
Не обязательно паяльник. Можно просто через почту или телефонный разговор развести человека на нужные действия.
Я как-то отправил пользователям рассылку, что теперь при входе в производственный программы нужно будет регистрироваться и вводить пароль. Там я подробно со скриншотами, для тупых, объяснил, в какой последовательности нужно нажать три кнопки на форме. Знали бы вы, сколько идиотов мне в ответ свои логин/пароль отправили в ответном письме. Так нашлись придурки, которые ещё и нажали "ответить всем". Все обменялись логинами, началась резня.
Я как-то отправил пользователям рассылку, что теперь при входе в производственный программы нужно будет регистрироваться и вводить пароль. Там я подробно со скриншотами, для тупых, объяснил, в какой последовательности нужно нажать три кнопки на форме. Знали бы вы, сколько идиотов мне в ответ свои логин/пароль отправили в ответном письме. Так нашлись придурки, которые ещё и нажали "ответить всем". Все обменялись логинами, началась резня.
А может они не свои логин/пароль отправили, а чужие или вообще придуманные? Я бы лично придуманные отправил, если бы попросили.
Чужие... это как вообще и зачем?
Нет, это просто не очень соображающие люди. Такие есть, и бывают даже хуже.
Увы, данные отправляли реальные. Пришлось даже запрашивать у безопасников массовый сброс паролей, и проводить разъяснительные беседы с сотрудниками.
Нет, это просто не очень соображающие люди. Такие есть, и бывают даже хуже.
Увы, данные отправляли реальные. Пришлось даже запрашивать у безопасников массовый сброс паролей, и проводить разъяснительные беседы с сотрудниками.
На здоровье, но это разные уровни защиты данных уже. Обфускация и прочая - это отдельный слой защиты непосредственно данных авторизационных учёток, с защищённостью самой процедуры логона его смешивать не надо.
Сброс пароля это жоска, если нет двухфакторно авторизации ещё могу понять...
за сброс принудительный сброс пароля вам отдельное увлажнение народа.
прикинь расклад: доброумышленники спалили на каком-то сайте такую фишку. далее берётся база похаченых где-то-как-то ящиков электропочты к которым есть доутуп, с каждого идёт попытка входа X раз, и тебе на ящик прилетает ссылка на сброс пароля! ай спасибо!
прикинь расклад: доброумышленники спалили на каком-то сайте такую фишку. далее берётся база похаченых где-то-как-то ящиков электропочты к которым есть доутуп, с каждого идёт попытка входа X раз, и тебе на ящик прилетает ссылка на сброс пароля! ай спасибо!
Всё зависит от уровня доступа к системе.
Если это интернет-магазин, то такая штука там не нужна, а если вход в бекоффис с важной информацией, то там много разных вещей используется для пресекания несанкционированного входа, в том числе и сброс пароля может использоваться.
Если это интернет-магазин, то такая штука там не нужна, а если вход в бекоффис с важной информацией, то там много разных вещей используется для пресекания несанкционированного входа, в том числе и сброс пароля может использоваться.
Вообще не важно, сама практика что ты можешь каким-то образом вызывать на известный адрес почты форму сброса пароля которую ты не запрашивал явно - порочна. В идеале запрос сброса пароля на сайте у тебя должен требовать ввод почтового адреса куда (если мы говорим именно о таком способе сброса) и не говорить тебе было ли отправлено письмо или нет, т.е. не подтверждать что пользователь с таким мылом в системе вообще есть.
Сознайся, тебя тоже задолбали ежемесячные смены паролей, даже с наличием 3-факторной аутентификации? :D
А по поводу сабжа, если атака идёт целенаправленно на один аккаунт в критической инфраструктуре, то иногда бывает лучше совсем сбросить пароль, может тогда юзер не только пароль, но и логин сменит.
А ещё и телефон с почтой себе новый заведёт. Так, на всякий случай...
А по поводу сабжа, если атака идёт целенаправленно на один аккаунт в критической инфраструктуре, то иногда бывает лучше совсем сбросить пароль, может тогда юзер не только пароль, но и логин сменит.
А ещё и телефон с почтой себе новый заведёт. Так, на всякий случай...
А по поводу атаки на сброс пароля, как ты верно подметил, вся база юзеров улетит в резет пароля. Да, такое может быть, но это мы говорим про критические системы, а не про интернет-магазины, там капчи хватает и таймаутов на вход.
У критически важной инфраструктуры это у какой? Если той, !условно!, где складируют документы с грифом секретно или где есть вебадминка от ядерного реактора, то какого хуя она вообще наружу интернетов торчит? Если чо пожиже, типа админки от датацентра где джой хостится, то там вообще или доступ по ключ-файлу (а лучше аппаратному) должен быть или через смс, или вообще через впн заход. Но это уже всё не про защиту от брутфорса, конечно.
Не, мне везёт и такие сервисы мне не попадались которые хотят частой смены пароля.
"если атака идёт целенаправленно на один аккаунт в критической инфраструктуре" то такой аккаунт должен блочиться и начинаться разбирательство почему атакерам так сильно понравился этот акк. возможно он утёк? полностью или частично
"если атака идёт целенаправленно на один аккаунт в критической инфраструктуре" то такой аккаунт должен блочиться и начинаться разбирательство почему атакерам так сильно понравился этот акк. возможно он утёк? полностью или частично
Или! Или...
Или юзер начнет в панике восстанавливать/менять пароль, а прога ему такая "новый пароль не может совпадать со старым".
Или юзер начнет в панике восстанавливать/менять пароль, а прога ему такая "новый пароль не может совпадать со старым".
Да, да "просто введет его второй раз" с точки зрения разраба (-__- )
А с практики:
Полезет менять пароль через почту и получит "Это ваш старый пароль, используйте новый" и начнет пригорать...
А с практики:
Полезет менять пароль через почту и получит "Это ваш старый пароль, используйте новый" и начнет пригорать...
А после смены пароля -- снова столкнётся с той же ловушкой
"Ваш новый пароль не может совпадать с одним из двадцати предыдущих"
Если это так, то что мешает настроить брутфорс на повторное введение одного и того же пароля 2 -3 раза подряд?
ловите хакера
Учитывая, что флаг первого ввода он внутри блока не изменяет, юзера тоже ждёт облом.
Просто очень хорошая защита от логина. Абсолютная.
Просто очень хорошая защита от логина. Абсолютная.
Я тот, у кого один удобный и запомненный пароль развился кучей вариаций из-за "слишком легкий" и "пароль должен содержать буквы, цифры и рог единорога", а потом поди вспомни у какого сервиса какие требования к паролю, и какой в итоге пароль именно у этой учётки.
Просто записываешь куда-нибудь себе и всё. Только не сами пароли, а шифровки к ним. Утащит кто-нибудь мой файлик, а там GMAIL - 45h3jfy436, ну и думай теперь ,что это значит. А я знаю, как это легко превратить в правильные 35 символов с нужными регистрами и символами.
Хуже всего конечно было с рабочими учётками. Нет более тупой и вредной системы, чем "прошло N дней, меняем пароли". Треть пользователей начинают рабочий день со сброса пароля через заявку в поддержку, треть имеет стикер с паролем на мониторе, остальные лепят один и тот же пароль, наращивая цифру в конце. Вплоть до смешного, когда для расчёта "стажа" лезут не в личный кабинет, а смотрят какая там цифра в пароле на стикере монитора.
Хуже всего конечно было с рабочими учётками. Нет более тупой и вредной системы, чем "прошло N дней, меняем пароли". Треть пользователей начинают рабочий день со сброса пароля через заявку в поддержку, треть имеет стикер с паролем на мониторе, остальные лепят один и тот же пароль, наращивая цифру в конце. Вплоть до смешного, когда для расчёта "стажа" лезут не в личный кабинет, а смотрят какая там цифра в пароле на стикере монитора.
тут скорее всего нужно первая попытка ввода правильно пароля, а не вообще ввод пароля как такового
при следующей попытке ввода пароля брутфорсом, будет использован новый пароль, один и тот же пароль дважды не будет подбираться
выше ValD описал
В итоге получится, что твой пароль не взломают. Скрипт подбора просто наткнувшись на правильный пароль получит ошибку и пойдет искать дальше. Не будет же он по два раза один и тот же пароль проверять. А вот юзер будет
да я уже понял
но тут больше смущает идея что сайт вообще позволяет себя брутфорсить, а не увеличивает время между следующими попытками зайти для этого логина
но тут больше смущает идея что сайт вообще позволяет себя брутфорсить, а не увеличивает время между следующими попытками зайти для этого логина
Всегда найдётся приколист, который по приколу начнёт перебирать логины, заранее вводя неправильный пароль. Просто чтобы у реальных пользователей случились проблемы со входом.
Ловить по адресу? Так у приколиста может быть весьма обширный пул адресов, да и реальный пользователь не на статике обычно сидит.
Ловить по адресу? Так у приколиста может быть весьма обширный пул адресов, да и реальный пользователь не на статике обычно сидит.
Если мы будет рассматривать нормальную, по уму написанную систему, то у реальных людей проблем не будет никаких. Реальные люди уже залогинены, им пофиг на попытки зайти под тем же логином, сессия то не сбрасывается. А те кто не залогинен, например у них та же сессия кончилась, вообще могут не заметить работы такой антибрут системы. То что тебя вылогинило, ещё не значит что у тебя сессия сбросилась или что кукиза в браузере удалилась. И вот ты приходишь логиниться с сессионной кукизой, и если антибрут система её видит, она просто не применяет по началу к тебе правила замедления. Ты для не её знакомый клиент. А брутфорсить пасс имея пусть и истёкшую но кукизу, это уже история из другой категории.
Чуть подушню. Эта хуйня по факту не работает - это просто внешняя по отношению к мощности пароля процедура входа, которая становится известна злоумышленнику даже чуть раньше, чем всем обычным пользователям. Намного эффективнее экспоненциальный рост задержки ответа системы при ошибочных попытках. С блокировкой аккаунта через 10-15-ть подряд неправильных.
Решаем одну проблему, создаем другую.
Представь, злоумышленник и узнал твой емейл, теперь ему достаточно 15 раз вести любой пароль и он заблокирует твой аккаунт. А если ты связался с администрацией и смог их убедить разблокировать твой аккаунт, то он сделает это повторно.
Представь, злоумышленник и узнал твой емейл, теперь ему достаточно 15 раз вести любой пароль и он заблокирует твой аккаунт. А если ты связался с администрацией и смог их убедить разблокировать твой аккаунт, то он сделает это повторно.
15-й раз - это надо ждать сутки. Первые 3 попытки можно сделать в пределах 5 секунд. Экспонента - она такая.
Да, действительно, так можно пакостить, но по факту таких случаев пока не было. Всё же намеренно пакостить - это дезавуировать себя, зловредам же важно и прийти, и уйти незамеченными. Зачем волновать отдел ИБ, они же насторожатся, взведут свои большие мушкеты, расставят силки и прочая...
Получить же список учёток (без паролей) - это тоже надо суметь, логин-то принимается по хешу, в открытом виде его в БД нет.
В общем, пока таких инцидентов не было.
Зато пользователи сказали отдельное спасибо, что после введения такой системы мы сняли драконовские меры к длине пароля, спецсимволам, уменьшили кардинально требования по частоте смены и прочая (проверка на качество пароля есть, но она лайтовая). Потому что слабая сложность пароля теперь парируется сложностью процедуры логона.
Да, действительно, так можно пакостить, но по факту таких случаев пока не было. Всё же намеренно пакостить - это дезавуировать себя, зловредам же важно и прийти, и уйти незамеченными. Зачем волновать отдел ИБ, они же насторожатся, взведут свои большие мушкеты, расставят силки и прочая...
Получить же список учёток (без паролей) - это тоже надо суметь, логин-то принимается по хешу, в открытом виде его в БД нет.
В общем, пока таких инцидентов не было.
Зато пользователи сказали отдельное спасибо, что после введения такой системы мы сняли драконовские меры к длине пароля, спецсимволам, уменьшили кардинально требования по частоте смены и прочая (проверка на качество пароля есть, но она лайтовая). Потому что слабая сложность пароля теперь парируется сложностью процедуры логона.
Иногда пакость это просто пакость, а не желание своровать. Тут за примерами далеко ходить не надо. Знаете как убер устранял конкурентов? Делал сотни и тысячи заказов у них и отменял их. Пока машины конкурентов были заняты фальшивыми заявками, свободный убер забирал клиентов. Так же и пиццерии воевали и много кто ещё. Гадить конкуренту, чтобы переманивать. Можно много способов борьбы с этим придумывать, но оно всё равно какую-то часть реальных пользователей заденет.
Как можно пакостить - методов море. Но если внимательно следить за методами, то всегда можно, очень гибко парировать.
ИБ - это постоянно работающая служба, которая постоянно (в нормальном режиме - на упреждение) анализирует потенциальные векторы угроз.
Но мы анализируем только то, что угрожает именно нам, хотя и почитываем, разумеется, чужие кейсы. Для расширения кругозора и развлечения.
В примере того же Убера конкуренты, попавшие под такого рода атаку могли бы сделать очень многое (создать верификационную базу, ввести встречные звонки, кросс-валидацию и прочая). Могли, определив вектор, создать встречные проблемы уже самому Уберу в таких недобросовестных атаках (в нашей конторе такого кейса атак не было, но я знаю по личным связям контору, которая при обнаружении примерно такого рода атаки против себя через руководство сделали прямой звонок конкурентам с предложением "вы хотите, чтобы мы действовали также против вас?", и это, внезапно, проблему как рукой сняло). Многое можно. Если думать и действовать.
Пакостники есть всегда, но когда ты планомерно максимально усложняешь им работу и ломаешь кайф, не поверите, упорных "за просто так" крайне мало...
ИБ - это постоянно работающая служба, которая постоянно (в нормальном режиме - на упреждение) анализирует потенциальные векторы угроз.
Но мы анализируем только то, что угрожает именно нам, хотя и почитываем, разумеется, чужие кейсы. Для расширения кругозора и развлечения.
В примере того же Убера конкуренты, попавшие под такого рода атаку могли бы сделать очень многое (создать верификационную базу, ввести встречные звонки, кросс-валидацию и прочая). Могли, определив вектор, создать встречные проблемы уже самому Уберу в таких недобросовестных атаках (в нашей конторе такого кейса атак не было, но я знаю по личным связям контору, которая при обнаружении примерно такого рода атаки против себя через руководство сделали прямой звонок конкурентам с предложением "вы хотите, чтобы мы действовали также против вас?", и это, внезапно, проблему как рукой сняло). Многое можно. Если думать и действовать.
Пакостники есть всегда, но когда ты планомерно максимально усложняешь им работу и ломаешь кайф, не поверите, упорных "за просто так" крайне мало...
> Получить же список учёток (без паролей) - это тоже надо суметь
Ackchyually, говно вопрос, посмотреть в слитые базы емейлов популярного сервиса, или базу телефонов от оператора купить у нужных людей
при переборе в ширину (фиксируется пароль и перебирается по большому кол-ву пользователей, задержки не дадут вообще никакой защиты
поэтому кому нужна безопасность - как минимум второй фактор сразу прикручивают
Ackchyually, говно вопрос, посмотреть в слитые базы емейлов популярного сервиса, или базу телефонов от оператора купить у нужных людей
при переборе в ширину (фиксируется пароль и перебирается по большому кол-ву пользователей, задержки не дадут вообще никакой защиты
поэтому кому нужна безопасность - как минимум второй фактор сразу прикручивают
> базы емейлов или телефонов
в смысле берешь базу пользователей одного сервиса и прикладываешь к другому, если он популярен в том же регионе, то будет много пересечений
в смысле берешь базу пользователей одного сервиса и прикладываешь к другому, если он популярен в том же регионе, то будет много пересечений
Базу логинов чтобы слить на сторону - её нужно знать, а если мы храним только хеш - как вы её получите? Я вот (архитектор системы, на минутку) получить её не могу никак. Собрать по сусекам у пользователей? Ну, теоретически можно, но рисков там, чтобы прошло мимо ИБ незамеченным - воз и тележка.
Взять всю базу номеров региона и попытаться стучать на наш авторизационный сервис, перебирая в ширину - на здоровье, но вы правда думаете, что это пройдёт незамеченным? DDoS мы отсекаем, у нас пользователи довольно стабильны по сетевым путям. В сеансовой части протокола верификации есть инфа по последней успешной сессии, если её нет, мы даже не примем запрос. Вы установите снифер на каждвй комп клиента, чтобы собирать сеансовую инфу, для её моделирования и подмены? Ну, знаете ли... Анализируется КАЖДЫЙ неуспех ошибки логона. По учёткам хранятся частотные профили времён сессий. Нарушение частотности сессий - анализируется. Как и многое другое.
И это я так, по верхам.
Я не говорю, что нельзя проломить нашу защиту. Но пока справляемся...
Взять всю базу номеров региона и попытаться стучать на наш авторизационный сервис, перебирая в ширину - на здоровье, но вы правда думаете, что это пройдёт незамеченным? DDoS мы отсекаем, у нас пользователи довольно стабильны по сетевым путям. В сеансовой части протокола верификации есть инфа по последней успешной сессии, если её нет, мы даже не примем запрос. Вы установите снифер на каждвй комп клиента, чтобы собирать сеансовую инфу, для её моделирования и подмены? Ну, знаете ли... Анализируется КАЖДЫЙ неуспех ошибки логона. По учёткам хранятся частотные профили времён сессий. Нарушение частотности сессий - анализируется. Как и многое другое.
И это я так, по верхам.
Я не говорю, что нельзя проломить нашу защиту. Но пока справляемся...
А как вы пользователям письма шлёте? Или вы не шлёте? А если шлёте, значит непохешеные электропочты у вас лежат где-то. Или у вас что инфа о пользователях на разные базы разнесена? Логины отдельно, посты отдельно? Или как оно вообще работает? А номера телефонов, если храните, тоже похешены?
Надо отделять мух от котлет.
Злоумышленнику, чтобы получить доступ к системе - нужен именно логин (хотя бы). С паролем он плясать отдельно будет.
А почта, как и телефоны, если желаете (или обязаны по штатному расписанию) получать от нас рассылки - это атрибут клиента, его контактные данные, они есть в БД, но совершенно не обязательно это его логин. В качестве логина мы примем что угодно (уникальную строку длиной более 10 символов). Просто, если уровень доступа и требуемых запрошенных сервисов роли высок, мы потребуем валидации аккаунта через его контакты (телефон с двухфакторкой или корпоративную почту, ни в коем случае не бесплатные помойки).
Если пользователь введёт свою почту как логин, у нас сработает эмпирика на качество аккаунта, и мы сразу предложим заменить логин. Надо 3 раза будет нажать условно "Да блять хочу, хочу я почту как аккаунт!" - чтобы система приняла это даже для аккаунта, которому доступно чуть менее чем нихуя (например, есть куча пользователей, которым нужен только визуальный мониторинг чего-то там, без прав на изменение и активные действия, там эмпирики слабые). А для ролей с высокими правами доступа мы никогда не примем почту как логин. Даже корпоративную. Именно потому, что мы знаем о таком звере как поиск по отрытым базам личной информации.
Вообще эмпирики на качество как атрибутов аккаунта, так и на сессионную статистику - великая вещь! 90% проблем можно избежать, если внимательно смотреть на то, что, как и когда именно пользователи используют в качестве логинов/паролей. И логины хранить у нас не нужно, всё, что мы знаем, что мы проверили, и хеш (с хлебом-солью, конечно) по логину не совпадает с хешами ни одного из атрибута клиентов (имя, фамилия, почта, телефон, имя кошки и прочая).
Злоумышленнику, чтобы получить доступ к системе - нужен именно логин (хотя бы). С паролем он плясать отдельно будет.
А почта, как и телефоны, если желаете (или обязаны по штатному расписанию) получать от нас рассылки - это атрибут клиента, его контактные данные, они есть в БД, но совершенно не обязательно это его логин. В качестве логина мы примем что угодно (уникальную строку длиной более 10 символов). Просто, если уровень доступа и требуемых запрошенных сервисов роли высок, мы потребуем валидации аккаунта через его контакты (телефон с двухфакторкой или корпоративную почту, ни в коем случае не бесплатные помойки).
Если пользователь введёт свою почту как логин, у нас сработает эмпирика на качество аккаунта, и мы сразу предложим заменить логин. Надо 3 раза будет нажать условно "Да блять хочу, хочу я почту как аккаунт!" - чтобы система приняла это даже для аккаунта, которому доступно чуть менее чем нихуя (например, есть куча пользователей, которым нужен только визуальный мониторинг чего-то там, без прав на изменение и активные действия, там эмпирики слабые). А для ролей с высокими правами доступа мы никогда не примем почту как логин. Даже корпоративную. Именно потому, что мы знаем о таком звере как поиск по отрытым базам личной информации.
Вообще эмпирики на качество как атрибутов аккаунта, так и на сессионную статистику - великая вещь! 90% проблем можно избежать, если внимательно смотреть на то, что, как и когда именно пользователи используют в качестве логинов/паролей. И логины хранить у нас не нужно, всё, что мы знаем, что мы проверили, и хеш (с хлебом-солью, конечно) по логину не совпадает с хешами ни одного из атрибута клиентов (имя, фамилия, почта, телефон, имя кошки и прочая).
Это всё конечно хорошо, но!, много ты таких сайтов видел, которые заморачивались чем-то по поводу логина?
Кроме уникальности, и (не-)желания видеть в логине кириллицу?
Не считая вариантов где "уникальные логины" это телефон или электропочта.
Можно вспомнить, например, батл.нет, но там хеш ещё приписывается автоматом к нику.
Лично я - ни одного.
То ли всем похуй, что вряд-ли, толи твоя концепция по замене логина это оверкилл.
А причём тут адреса электропочты как логин, открытые базы личной инфы и роли с высоким доступом?
Обычно у профилей пользователя поле логин и поле с почтой это разные поля, ты просто запрещаешь @ в поле логина и всё. В чём проблема-то?
Я, видать, не понял твою идею.
А что-бы не хранить у себя логины пароли, и тем самым исключить их утечку полность, достаточно просто прикрутить авторизацию через гос-услуги с требованием чтобы акк был подтверждённым :D
Кроме уникальности, и (не-)желания видеть в логине кириллицу?
Не считая вариантов где "уникальные логины" это телефон или электропочта.
Можно вспомнить, например, батл.нет, но там хеш ещё приписывается автоматом к нику.
Лично я - ни одного.
То ли всем похуй, что вряд-ли, толи твоя концепция по замене логина это оверкилл.
А причём тут адреса электропочты как логин, открытые базы личной инфы и роли с высоким доступом?
Обычно у профилей пользователя поле логин и поле с почтой это разные поля, ты просто запрещаешь @ в поле логина и всё. В чём проблема-то?
Я, видать, не понял твою идею.
А что-бы не хранить у себя логины пароли, и тем самым исключить их утечку полность, достаточно просто прикрутить авторизацию через гос-услуги с требованием чтобы акк был подтверждённым :D
При нажатии на значок глаза поменять местами два рандомных символа в введённом пароле.
Тем временем я, который вставляет пароль из буфера![HETinÖflÖjRHTEJjbHO]](//img2.reactor.cc/pics/comment/it-%D1%8E%D0%BC%D0%BE%D1%80-geek-%D0%9A%D0%BE%D0%BC%D0%B8%D0%BA%D1%81%D1%8B-it-humor-5160682.jpeg "it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Смешные комиксы,веб-комиксы с юмором и их переводы,it humor,geek,comics")
![HETinÖflÖjRHTEJjbHO]](http://img2.reactor.cc/pics/comment/it-%D1%8E%D0%BC%D0%BE%D1%80-geek-%D0%9A%D0%BE%D0%BC%D0%B8%D0%BA%D1%81%D1%8B-it-humor-5160682.jpeg "it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Смешные комиксы,веб-комиксы с юмором и их переводы,it humor,geek,comics")
из паролехранилки*
Не, у меня там шифровки. Так что сперва прописываю его в блокноте, и из него копирую.
Но во второй раз же прокатывает?
Добавляешь пробел в конце пасса, и при даблклике в блокноте пасс будет выделяться, копироваться и вставляться с пробелом, при нажатии на глазок -с виду все ок :)
будет работать до первой функции .trim() которая обрабатывает форму логина
еще бы её кто-то делал :)
я в своём коде постоянно вызываю:)
Слушал рассказ в "Модель для сборки". Там было про двоих мошенников, которые один из которых как бы вживался в мысли человека и похитил у него пароль от учётки. И попался на том, что тот человек всегда вводил пароль со второй попытки. Не могу вспомнить название
Нормальная штука класса security-by-obscurity если применяется к личной игрушке, а не к публичному сервису
И как это будет работать? Чтобы написать скрипт, злоумышленник изучает атакуемый сайт. Уже на этом этапе он поймет, что верный пароль надо вводить 2 раза.
А как? Это хранимая процедура. Ты сюда с мастер-логином от мускула вломился?
Просто руками, на этапе изучения сайта, попробует войти с легального акка. Зачем в код то лезть? Это и так будет видно, что с первого раза никогда не заходит.
Что он там собрался изучать для тупого брутфорса?
![vaJr F “ r*angular1, 'vue', 'react'] ; alert (
^ FfMath. floor (Math .rando/n()*f\length) ]
©GARABATOKID](http://img2.reactor.cc/pics/thumbnail/post-3999632.jpg "vaJr F “ r*angular1, 'vue', 'react'] ; alert (
^ FfMath. floor (Math .rando/n()*f\length) ]
©GARABATOKID")
Отличный комментарий!
Если пароль правильный и это первая попытка ввести правильный пароль, выдавать "пароль/логин неправильные".
То есть когда брутфорсер, который просто перебирает по очереди пароли, введёт правильный, зайти у него не получится, и он пойдёт дальше перебирать пароли.
А юзер, который пароль знает, просто введёт его второй раз.