Beskytte seg mot brute force i loginform?

[pulse]

Litt håpløst å forklare, men jeg lurer på hvordan man kan beskytte seg mot "brute force" attack på login form? Det jeg mener er da og sikre seg mot at noen setter opp ett lite programm som tester xxx passordkombinasjoner i sekundet for å prøve å logge seg inn som en bruker.

[Runar0]

Begrens antall login forsøk.

 

Den beste måten blir vel ein tabell som inneholder IP addresser, antall forsøk og tid for siste forsøk. Så ved logg inn vist antall førsk er større enn X og tid no - tid siste forsøk er mindre X minutter print feilmelding.

[pulse]

Begrens antall login forsøk.

 

Den beste måten blir vel ein tabell som inneholder IP addresser, antall forsøk og tid for siste forsøk. Så ved logg inn vist antall førsk er større enn X og tid no - tid siste forsøk er mindre X minutter print feilmelding.

mhm, tenkt på den, men folk som virkelig vil gjøre sånt, har vel også mulighet for og sette opp dette via en haug med proxyer, så de får ny ip hver gang (eller andre metoder?). Det vil også være dumt i forhold til større nettverk på en IP. Sperrer man en, så sperrer man alle...

[jokkakim]

du kan jo sperre kontoen i x antall minutter, men er jo stor sjangs for at det vil bli misbrukt.

[trrunde]

du kan vel sperre på brukernivå, slik at hvis dem prøver med brukernavn admin så etter 5 forsøk må dem vente 10 min før neste gang dem kan prøve med brukernavnet admin

[grimjoey]

Sett ip, tid_for_første_forsøk og antall forsøk i session og sperr etter ca 5-10 forsøk i løpet av ca 30 min - 24 timer. Det gjør at det ikke er enkelt å brute. Folk kan finne veier forbi, men det krever mer jobb.

 

Pass på at brukerene har sterke passord. Du kan kjøre ordliste test, ha en minimum lengde og sjekke at passordene inneholder store og små bokstaver + tall. Dette tester du hver gang en bruker forsøker å lage eller endre passord.

 

Eller du kan gjøre slik at serveren genererer tilfeldige passord og brukerene kan ikke endre de selv. Da må en eventuell "glemt passord" mekanisme fungere slik at det settes et nytt passord og brukeren får tilsendt dette på mail.

 

Du kan legge til en captcha i login sekvensen.

 

det er ikke så mye mer man kan gjøre.

[pulse]

...

Du kan legge til en captcha i login sekvensen.

 

det er ikke så mye mer man kan gjøre.

Hmm, en captcha kan i alle fall være kjekt å ha i registreringen (kan jo spamme den med masse brukere og (noe jeg ikke tenkte på i farta)). Også kanskje ha en captcha dersom det er forsøkt mer enn 5 login forsøk på under 1 min eller.no ?

 

Og var det jeg var litt redd for (at det ikke var så veldig mye mer å gjøre med det).

[grimjoey]

Jeg vil foreslå at du setter en limit per brukernavn på 5 forsøk per dag. Mer en fem forsøk resulterer i at captcha blir en del av innloggingen 2 timer for eksempel.

 

Red:

Jeg kom på en ting til du kan gjøre. Hvis du logger alle feilede passord, kan du analysere og finne ut om forsøkene er basert på et logisk system (aaa, aab, aac, aad ...) og if (TRUE) blokkere.

Endret 1. februar 2008 av grimjoey

[Mads-b]

Eventuellt kan du ta den enkle sleep(); funksjonen..

 

Sett den til 2-3 sekunder, så blir det straks ganske ekkelt å brutforce noen millioner passord ^^

[pulse]

Eventuellt kan du ta den enkle sleep(); funksjonen..

 

Sett den til 2-3 sekunder, så blir det straks ganske ekkelt å brutforce noen millioner passord ^^

Mhm, har det nå, men regner vel med at en flink person bare oppretter en haug med tilkoblinger, og om han har 300 tilkoblinger aktive, så får han alikevel forsøkt 300 ganger i sekundet.. :s

[grimjoey]

du kan begrense antall samtidige pålogginger.

 

// før pålogging

 

$file = 'logins.txt';

$max = 50;

 

put_file_contents((get_file_contents($file) + 1), $file);

if (get_file_contents($file) > $max) die();

 

// etter pålogging

put_file_contents((get_file_contents($file) - 1), $file);

[pulse]

grimjoey: Jeg føler meg dum, takk! Det var jo faktisk supersmart! =D

Endret 2. februar 2008 av pulse

[Ernie]

Sett ip, tid_for_første_forsøk og antall forsøk i session og sperr etter ca 5-10 forsøk i løpet av ca 30 min - 24 timer. Det gjør at det ikke er enkelt å brute. Folk kan finne veier forbi, men det krever mer jobb.

Vil ikke dette være problematisk i og med at session er «avhengig» av cookie e.l for å ta vare på status? Mao., hvis man dropper å sende den type informasjon tilbake til server vil man for systemet se ut som en «ny» bruker hver gang?

 

Det enklest er nok bare å lagre det på serveren på bruker-basis. Mao. enhver bruker kan ikke ha mer enn x antall innloggingsforsøk på y sekunder uavhengig av alt (ip, nettleser osv.).

Eventuellt kan du ta den enkle sleep(); funksjonen..

 

Sett den til 2-3 sekunder, så blir det straks ganske ekkelt å brutforce noen millioner passord ^^

Ikke når man bombarderer med x antall simultane forsøk ;-)

[grimjoey]

Da får man et system som er enkelt å missbruke.

 

Red:

Men greit nok dersom du ikke sperrer brukerens tilgang så lenge. Eller ikke sperre i det hele tatt, men legge til captcha som ekstra sikkerhetstiltak.

Endret 2. februar 2008 av grimjoey

[Ernie]

Ja, det er jo fult mulig det er enkelt å misbruke (antar du mener i betydningen at du kan låse ut enhver bruker), men noe annet vil jo medføre dårligere beskyttelse selv om det ikke trenger å være betydningsfult dårligere. Å knytte det til en IP går jo såklart an, men det hinderer jo ingen å få seg en ny IP og prøve på nytt? En mulighet er forsåvidt å blokkere en «range» IPer (f.eks 8 siste bit i IPen).