6 login
最近我读了一篇关于防止蛮力攻击的文章.它说自动禁用用户帐户是一种很差的安全机制来对抗字典攻击.首先,如果攻击者可以通过每30分钟三次错误地猜测其密码来禁用帐户,则他可以有效地阻止该用户访问系统.第二,因为这种技术假设攻击者保持用户名不变并改变密码.如果攻击者保持密码不变并改变用户名怎么办?我们已经知道很大一部分用户使用"密码"等常用密码.使用字典攻击的黑客可以为其用户名单中的每个用户尝试"密码",这不仅具有很高的成功机会,而且还会逃避帐户锁定逻辑.攻击者可以进行数千次登录尝试,即使每次尝试都失败,系统也只会为每个帐户注册一次不正确的登录.
任何人都可以给我一些建议,使禁用帐户更安全吗?
小智 3
一些想法:
您可以保留历史上用于登录给定帐户的 IP 地址的历史记录。锁定机制可能会有所帮助,但对那些已识别的地址要宽松一点,以避免让用户的日子变得更糟。
对于另一种情况,即一个 IP 在多个帐户上尝试相同的密码,请跟踪同一 IP 地址是否在不同帐户上进行过多次无效尝试,然后将该 IP 锁定一小时左右。
如果僵尸网络使用多个 IP 对多个帐户尝试相同的密码,请跟踪是否有大量 IP 地址尝试相同的密码。如果是这样,请暂时设置为即使密码正确也必须连续输入两次。(普通用户只会认为他们输错了密码。)
如前所述,如果检测到攻击,则暂时需要验证码或其他一些安全问题(除了假装第一次尝试时有效密码不正确之外)。虽然验证码读取工具是可行的,但我认为它们还没有普及,而且 OCR 需要大量的 CPU 时间。
| 归档时间: |
|
| 查看次数: |
6876 次 |
| 最近记录: |