Por*_*rks 16 security password hacking brute-force-attacks
我的客户端有一个服务器,它正在遭受来自僵尸网络的蛮力登录尝试。由于服务器和客户端的客户端变化无常,我们无法轻易阻止通过防火墙、端口更改或登录帐户名称更改的尝试。
已决定让它受到攻击,但要找到一种保护密码安全的方法。管理层和其他一些顾问已经确定,最好的办法是安装密码轮换软件,每十分钟轮换一次密码,并将新密码提供给需要登录的用户。
蛮力尝试每秒发生两次。
我需要证明使用 12-15 个字符的强密码是一种更简单且免费的解决方案。我知道如何用数学证明这一点,但我只想写一些类似“我们的密码有 x 种可能的排列,攻击者每天只能尝试 n 次,因此我们希望他们去 x/在他们猜出我们的密码之前平均 2n 天。” 有没有更标准的“证明”呢?
Ste*_*ven 14
将 fail2ban 与 iptables 一起使用是一个很好的方法。
这是你的数学:
混合大小写字母和常用符号,8 个字符长,可为您提供 2.9 千万个组合,每秒尝试 10,000 次将需要 9,488 年。那当然是最大值 - 预计您的密码将在 4000 年内被破解。1000 年,如果你不觉得幸运。
如您所见,如果您使用 15 个字符的密码,则不会有任何问题,例如:
dJ&3${bs2ujc"qX
小智 8
除了fail2ban,
如果您正在运行任何现代 UNIX,您通常可以将错误密码输入睡眠时间更改为最多 5 秒,从而将攻击速度降低 2000%。[Solaris 10 在 /etc/default/login 中有它,搜索 SLEEPTIME] 使用相同的容差意味着您可以每 3 小时 20 分钟轮换一次密码。
此外,在锁定前尝试密码也是一种可行的选择,但我怀疑它不适合您,因为您有多个用户共享一个帐户并且不希望它一直被锁定。
要求 12-15 个字符的密码会有所帮助,但如果您不断受到攻击,另一种解决方案可能会更好。我不知道贵公司对此的预算容忍度是多少,但是需要登录该帐户的每个人的 RSA 密钥卡也可以解决这个问题。两因素身份验证将概率推入量子计算时间。
蛮力方法持续了足够长的时间让你在这个板上发帖是非常令人惊讶的。一般来说,它非常低调,充其量只是一个日志填充器,而真正的攻击正在进行。
需要考虑的事情:如果您有一个不会更改的密码,并且蛮力攻击正在测试包括您的密码的世界,那么蛮力攻击最终肯定会命中,之后您将仍然容易受到攻击。
正如您所建议的那样,可以计算随机选择命中您密码的“机会”,但这可能无法说明全部情况。
例如,如果您查看蛮力尝试,并看到他们尝试的最长密码是 10 个字符,则选择 12 个字符将确保您永远不会受到攻击。
尝试将统计数据应用于特定案例时要非常小心;他们只用大量样本来预测整体行为。
除此之外,如果数学不能(或不能)说服某人,请尝试找到发生概率大致相同但熟悉的事情,例如彩票或车祸或被闪电击中。如果您可以说“某人击中此密码的机会与连续六周赢得彩票的机会大致相同”,则可能会给他们带来更好的感觉。