1) Не в адресе дело.
2) Можно сделать хоть site.ru/administration_not_standart/in_adminko/jh342jds/ тока сам забудеш

ну так вот как лучше защищать??

на форуме есть уроки от twin'а и faq в разделе для начинающих

его админку можно брутом взять

это для примера.Дальше ставите свои условия: капча , бан при брутовской атаке , ну и т.п.

делаете сессию , если пароль не подошёл прибавляете к ней еденицу.Если допустим сессия уже больше трёх, то запрещяем вход

о, точно, спасибо!!

1. поставь каптчу.
2. как посоветовал Gradus, бан после нескольких неверных вводов.
3. пароль посложнее.

админка будет пуленепробиваемая...

У меня супер пупер офигенная идея, поставь например графический код проверки от ботов если человек, то он реально [u]заебется[/u] заманается вводить этот код, а боты просто не смогут подобрать пароль

чет я запарился. типа такой хни ни фига не пашет

$_SESSION['admin'] = $_SESSION['admin'] + 1;

    if($_SESSION['admin'] >= 3)
    {
        sleep(30);
    }

sleep(30); задерживает выполнение скрипта на 30 сек.
зачем это тебе?

а почему именно в сессию надо прятать счетчик???
а если взломщик каждый раз будет открывать новую сессию ?
нужно в базу писать ip и проверять частоту запросов от этого ip в некоторое количество времени.
а на счет капчи для входа в админку, если вы конечно кому то делаете то вам без разницы, а если админу надо 10 раз в день заходить он зае* вводить эту капчу.

лучше поставить посложнее пароль проверять частоту запроса ip и ни сохранять куки для авторизации админа

а зачем ты к сессии 1 добавляешь? Добавляй к значению! =)
MatrixGod
ну да, задержка скрипта. я не могу вводить пароль чаще 1 раза в пол минуты после 3й попытки.

да я пошёл учиться читать.... $_SESSION['admin']++ . Так проще)

Сессии, вот так и берутся баги

Я не понимаю, че думать я же предложил реальный вариант без огрехов, заказчик не съест, ну и что если странно будет что в админке код от ботов зато защита от взломщиков идеальная, а куку просто можно в браузере офнуть и фсе и ломай хоть через колено, хоть через шпагат. А антибот это система на php и не требует реализации на стороне клиента

TakoY

Достали.
Это называется - слышал звон, да не знаю где он.
Прежде чем строить защиты, надо хоть маленько иметь представление, от чего защищаетесь. Иначе будите всю жизнь ходить в каске только потому, что с неба иногда падают метеориты.

Какой брутфорс, вы что, с дуба рухнули? Вы вообще считать умеете?
Брутом вычисляются пароли из известного хэша. Допустим взломали базу и достали все хэши паролей. Что бы получить из них исходные (или колизии хотя бы) применяются методы взлома алгоритма MD5. Такие как брутфорс, тунелирование, радужные таблицы и прочая.

Но никак не взломать защиту брутом, если пароль не три единицы конечно.
Вот давайте прикинем. Допустим нам известна длина пароля и то, что он состоит только из латиницы. Так, для эксперимента.

Вот такая элементарная функция, которая дает представление о том. что же за страшный зверь брутфорс:

  set_time_limit(0); 

  $query = 0;

  function decrypt($pass, $max, $answer) 
  { 
    global $query;
	$query++;
	
	$arr = array('a','b','c','d','e','f', 
                 'g','h','i','j','k','l', 
                 'm','n','o','p','r','s', 
                 't','u','v','x','y','z'); 

    if(mb_strlen($answer) > $max) 
	return; 

    for($i = 0; $i < 24; $i++) 
    { 
      $temp = $answer . $arr[$i];
	   
      if(md5($temp) == $pass) 
	  return $temp; 

      $result = decrypt($pass, $max, $temp); 
	  
      if(mb_strlen($result) > 0) 
	  return $result; 
    } 
  }

$start = microtime(1);
// 4 - длина пароля
echo  decrypt(md5("pass"), 4,  ''), '<br>';
echo  $query, '<br>';
echo microtime(1) - $start;

Запустим функцию и посмотрим. Количество интераций (функция работает по рекурсивному спуску) равно 216821. Вполне реальная цифра. При частоте запросов к серверу 10 в секунду взлом состоится через 6 часов непрерывной атаки.
Вот отсюда и растут ноги - страшно.
Но. Попробуйте увеличить длину пароля до 5. Я даже дома такой скрипт запускать не стану. Простой прикидкой 216821 Х 24 / 10/60/60/24 = 6 суток

А если пароль из 6-ти символов?
Считать умеет кто нибудь? Около 5-ти месяцев. А если 8? А добавить цифр и заглавных букв? А кирилицы или других символов?
Все увеличивается в геометрической прогрессии. И вот вам вывод - вот такой пароль:

Самый "крутой" способ борьбы с брутфорсом - нормальный пароль.
Сессии безполезны, атакующий бот будет сбрасывать куки после каждой провалившейся попытки подбора.
IP - Правильно тут сказали, можно ломать через прокси и без сложного алгоритма анализа этого не отловиш.
Каптча - если кому то очень нужен ваш сайт - напишут под капчу бота, без проблем.

Спасет хороший пароль

[О, а до меня уже Твин ответить успел. ]

короче есть еще вариант очень жестокий, формау логина и пароля сделай на левом сайте, а в скрипте авторизации введи что можно принимать POST запросы именно с того сайта и не откуда больше

угу, я ща этот "мост" реализую =) делов на пару мин, но не зная алгоритма шифра пароля - весьма проблемно. Спасаюсь курлом

в общем, не надо париться, господа. хороший пароль, и по фигу)

Ерунда полная.
Это же админка, причем тут

Вообще то это не брутфорс называется, а словарь.
Поставь генератор паролей и выдавай их принудительно. Именно так делают серьёзные ресурсы, хостинги и т.д.
Не изобретайте велик, на них давно умеют ездить хакеры.

Ну еще минимально можно .htaccess разреш. доступ с определенных IP. В некоторых случаях очень даже не плохо.

У меня ип меняется раз в день. Меня по бороде значит?

Я же написал в некоторых случаях. У меня локальная сеть и айпи у юзеров не меняется. Мне удобно к примеру. На админке стоит вход по паролю и доступ только с айпи работы и дома и всё

В данном посте исконо русское слово из 3 букв заменено на *
------------------------------
Один мой знакомый Дебианщик шутил что почти на любой русский сервер можно зайти под ssh как root : *123 или root : 123*

Американская компания Imperva, работающая в области информационной безопасности, опубликовала собственное исследование 32 млн поролей сервиса Rockyou.com, которые недавно из-за ошибки программистов попали в открытый доступ в Сеть.

С помощью приложения Application Defense Center (ADC) исследователи проанализировали «силу» всех паролей в базе и выявили те из них, которые используются чаще всего, а значит, являются наименее безопасными для применения в социальных сетях или сайтах платежных систем.

Наиболее часто используемыми паролями признали: «123456», «12345», «123456789», «Password», «iloveyou», «princess», «rockyou», «1234567», «12345678» и «abc123». Cамым популярным паролем оказался «123456». «Все пользователи должны понимать, что означает комбинация «слабых» паролей в современном мире автоматизированных кибератак: приложив минимальные усилия, хакеры получают доступ к одному новому аккаунту каждую секунду, или 1 тыс. учетных записей каждые 17 мин.», - отметил Амихай Шульман (Amichai Shulman), технический директор Imperva.

«Эта база паролей позволила нам провести уникальный анализ того, как пользователи выбирают пароли, и оценить истинную силу пароля в качества механизма безопасности. Никогда раньше в свободном доступе не появлялось такое большое количество паролей, на базе которых можно было провести подобное исследование», - добавил он.

Как отмечают авторы отчета, многие пользователи выбирают максимально короткие и простые пароли, что автоматически подвергает их риску стать жертвой кибератак, известных как «полный перебор» или метод «грубой силы» (от английского brute force). Около половины всех пользователей Rockyou.com в качестве пароля использовали имена людей, сленговые слова, слова из словаря или наиболее тривиальные пароли (последовательный набор цифр, стоящие рядом клавиши клавиатуры и т.п.). «Часто работники могут использовать на своем рабочем аккаунте тот же пароль, который стоит у них в социальной сети Facebook, что значительно повышает риск взлома корпоративной системы, особенно если этот человек использует легко подбираемый пароль в стиле «123456», - говорит Шульман.

Он также подчеркнул, что за последние 20 лет набор паролей изменился очень незначительно. Аналогичное исследование в ОС Unix, проведенное в 1990 г. показало примерно то же, что и сейчас. «Пора всем начать подходить к вопросу безопасности паролей серьезно, это первый очень важный шаг в защите личных данных», - добавил технический директор.

http://cnews.ru/

Разбираем картинку попиксельно и анализируем. Это довольно кропотливое занятие и алгоритмы довольно сложные. Но сейчас даже фотографии на похожесть анализируются, что про циферки говорить.

Гг а можно просто поставить значок капчи и поле ввода, а сам скрипт реагировал не на капчу а на определенный пароль, а капча будет стоять так для мебели

Думаю с моими минимальными знаниями в php я понятно обьяснил

Можно, а зачем только?
З.Ы.: да, да Твин, я уже дома и пошёл во всю писать валидатор ((:

А если сделать запрет на вход во все папки кроме корневой, а в корневую засунуть загрузчик движка сайта ну и соответственно при вводе http://site/inpex.php?adminka - открытие сесии, загрузка запроса пароля из скрытой папки, сверка пароля с паролем в md5 формате находящегося так же в скрытых папках + счётчик попыток набора пароля за опр. кол. времени + отправка уведомления на ящик при переборе запросов + бан по IP ??? Главное что бы сам хост был нормально защищён + правельно сессии настроить...

Да че уж там!? После нескольких неверных попыток - меняем имя каталога, в котором админка.

А не!!! Чистим index.php, в том каталоге, где админка. Ну это смотря у кого как реализовано. Ну бекап делаем еще.

К стати... а почему бы и нет... полный путь к админке высылается на ящик и меняется на хосте... теперь даже если кто и долез до места где была админка - уже опять будет гадать...
конечно 3 раз неверно набранного маловасто... 5 - в самый раз... и можно менять смело каталог...

это если делать обычным способом, а если делать через движку, то смысла нет менять каталог, ибо и так всего 1 фаил доступен из вне... и то не сам файл, а результат его работы...

Lenarfate
угу! только когда будешь вспоминать пароль- и тебя забанит! ЛУчше делать антиддос защиту

да это уже дело техники... да и вообще я считаю бан по IP вообще не серьёзная тема... да и по MAC тоже... это я так... к слову, там выше про это шептали... а вообще достаточно после 5 неверных попыток письмо адмыну + таймаутик... + пароль с выкрутасом на символов 20 из циферок и буковок... и усё...
а на счёт атриддос, так это если сам хост поднимаешь на своём сервачке, а если на чужом, то это уже их забота, ибо зачем нужен хост за бабки без каких либо защит от атак ?...

+1 Пароль подобрать нереально, но если всё равно хочется как-то защититься то тут точно сессии не подойдут, не факт что брут вообще поддерживает куки, тогда сессии работать не будут... Правильно при каждой авторизации делать задержку 1-2 секунды, тогда брут даже небольшого пароля сильно затянется