Raymond
30.05.2017 - 20:06
почитал немного инфы по этой теме, и нашел пару вариантов.
Если пользователь допустил ошибку и ввел что-то не так при авторизации, то:
1) Можно дать ему возможность следующей попытки через N времени.
Минус в том, что если какой-нибудь ушлепок попытается зайти с моего аккаунта несколько раз и налажает, то мне придется ждать эти самые N времени.
2) Фильтровать по ip. Например, если кто-то с определенным IP неудачно авторизировался, то записываем IP в черный список, и постоянно показываем капчу в форме авторизации, под каким бы логином человек ни пытался зайти.. Когда и если он таки зайдет удачно, убираем IP с черного списка.
Я больше склоняюсь к варианту 2. Но подскажите, пожалуйста, поможет ли он, если у человека динамический IP?
Invis1ble
30.05.2017 - 21:55
| Цитата (Raymond @ 30.05.2017 - 20:06) |
| Но подскажите, пожалуйста, поможет ли он, если у человека динамический IP? |
Сам-то как думаешь?
Вообще, авторизацию нет особого смысла брутить, ибо неэффективно. А если кто-то уж целенаправленно возьмется (нет) за конкретного юзера, то капча твоя не поможет.
_____________
Профессиональная разработка на заказЯ на GitHub |
второй профиль
Raymond
30.05.2017 - 22:12
| Цитата (Invis1ble @ 30.05.2017 - 21:55) |
Сам-то как думаешь?
|
но вроде же , чтобы у человека сменился динамический IP, нужно отключиться от инета и снова зайти. Все таки время на это уходит.
AllesKlar
31.05.2017 - 02:09
| Цитата (Raymond @ 30.05.2017 - 20:12) |
| но вроде же , чтобы у человека сменился динамический IP, нужно отключиться от инета и снова зайти. Все таки время на это уходит. |
Про подсеть не слышал?
Это когда целый микрорайон сидит на одном внешнем IP
Задержка в 1 минуту по имени пользователя достаточная защита от брута. Пароль из 8 символов не будет подобран никогда.
Никто не брутит конкретное имя пользователя. берут пары логин:пароль и вперед (и прочие секреты юного хакера)
И вообще, брут - это тот еще онаниизм очень неэффективно, и им уж давно никто не пользуется.
| Цитата |
| Минус в том, что если какой-нибудь ушлепок попытается зайти с моего аккаунта несколько раз и налажает, то мне придется ждать эти самые N времени. |
Это случиться 4 раза за всю историю существования твоего сайта
_____________
[продано копирайтерам]
S.Chushkin
31.05.2017 - 11:39
| Цитата (AllesKlar @ 31.05.2017 - 02:09) |
| ... им уж давно никто не пользуется. |
Пользуются, к сожалению. По несколько десятков запросов на дню, хотя сайт нафиг никому не нужен.
_____________
Рекламка / ad.pesow.com Хрень / mr-1.ru
Invis1ble
31.05.2017 - 11:44
| Цитата (S.Chushkin @ 31.05.2017 - 11:39) |
| По несколько десятков запросов на дню, хотя сайт нафиг никому не нужен. |
Пытаются кого-то конкретного сбрутить или работа "по площадям"?
_____________
Профессиональная разработка на заказЯ на GitHub |
второй профиль
S.Chushkin
31.05.2017 - 11:53
| Цитата (Raymond @ 30.05.2017 - 20:06) |
| 1) Можно дать ему возможность следующей попытки через N времени. |
Не поможет.
| Цитата |
2) Фильтровать по ip. Например, если кто-то с определенным IP неудачно авторизировался, то записываем IP в черный список, и постоянно показываем капчу в форме авторизации, под каким бы логином человек ни пытался зайти.. Когда и если он таки зайдет удачно, убираем IP с черного списка.
Я больше склоняюсь к варианту 2. Но подскажите, пожалуйста, поможет ли он, если у человека динамический IP? |
Не поможет.
И человек тут не причём - там роботы. И ИП у них как правило очень много, почти не повторяется. С одного ИП один-два запроса в сутки максимум, обычно и того реже. Причём ИП с разных регионов, большинство динамические.
А если много в единицу времени, то это уже DoS, - другая песня.
п.с. У себя я пока не понял, то ли вирус, то ли бот-сеть шалит. Лень возиться, ибо пока не напрягает.
_____________
Рекламка / ad.pesow.com Хрень / mr-1.ru
S.Chushkin
31.05.2017 - 11:57
| Цитата (Invis1ble @ 31.05.2017 - 11:44) |
| Пытаются кого-то конкретного сбрутить или работа "по площадям"? |
Не, просто тыркаются - логин,пароль.
Вероятно по списку или просто генерируют случайным образом - я не разбирался.
_____________
Рекламка / ad.pesow.com Хрень / mr-1.ru
AllesKlar
31.05.2017 - 12:33
| Цитата (S.Chushkin @ 31.05.2017 - 09:53) |
| Цитата (Raymond @ 30.05.2017 - 20:06) | | 1) Можно дать ему возможность следующей попытки через N времени. |
Не поможет.
|
Конечно поможет.
если, скажем, после 5-ти неудачных попыток, заблокировать по логину на 1 минуту, то при длине пароля 8 символов всего лишь [a-z] это будет (26^8 ) / 5 (попыток) / 60 / 24 / 365 = 15.892 года
думаю, что через 15.892 года пользователь сменит таки пароль и брутить придется с самого начала.
_____________
[продано копирайтерам]
Быстрый ответ:
Powered by dgreen
Здесь расположена полная версия этой страницы.