A brute force támadás mindig hatásos módszer, nem lehet ellene védekezni? Van olyan rendszer amit nem lehet feltörni?
A brute force támadás mindig hatásos módszer, nem lehet ellene védekezni? Van olyan rendszer amit nem lehet feltörni?
Általában lehet ellene védekezni, de ez attól függ, hogy miről van szó...
Ez kb olyan kérdés volt, hogy az én autómat könnyű feltörni? De hogy milyen autóm van, azt nem mondom meg...
A nyers erő mindig hatásos módszer? Amerikát le lehet győzni?
A válasz mindkét esetben igen. Ha elég nagy erővel rendelkezel mindenkit le tudsz győzni. Lásd: shongoku. A sorozat végére már nagyon erős volt. Nagyon, de nagyon.
Stabil növekedési pályára állítanád a vállalkozásod?
Tartalommarketing a Gyakorlatban Könyv
Reggel 3 óráig próbálkoztam a konzervvel, de nem nyílt ki. Szóval ebben az esetben biztos nem hatásos!
Ma már azért elég jó védelmek vannak. Pl.: próbálj meg egy gmail fiókot brute force-al megtörni. Pár próbálkozás után captcha-t is kér. Ami jó, nem nagy védelem, mert van jó pár cég aki indiai szegényekkel megfejti neked őket nagyon olcsón, de akkor is pénzbe kerül. Illetve gondolom egy időutáni p alapján is bannolnak. Jó persze ekkor meg majd használsz proxykat, de eléggé megvan nehezítve a dolog. Ráadásul a gmail például ha bevan kapcsolva, értesíti a tulajt, hogy sok próbálkozás volt…
Szóval rengeteg hatékony védekezés van ellene. Persze mindet kilehet játszani, a kérdés az, hogy megéri e? Érdemes e ennyi pénzt és időt belefektetni?
a legegyszerűbb az "szerintem"
Ha 1 adott fiókba egy adott időintervallumon belül túl sokszor próbáltak meg belépni, akkor kezd el logolni, hogy mikkel próbálkoztak meg belépni. Elég egyet elkapni. Erre a jelszóra cseréld le a tulaj jelszavát és erről értesítsd, hogy 115 próbálkozás érkezett a fiókjába való belépésre így jelszavát biztonsági okokból megváltoztattuk erre: sksgksdngks, belépés után természetesen visszaállíthatja.
Ez azért jó szerintem, mert ha ezt a jelszót a brute force értéktelennek definiálta, akkor nem fog vele újra próbálkozni és biztonságban van a fiók.
Másik lehetséges út, hogy nem változtatod meg a jelszót, csak egyszerűen 1-2 órára inaktiválod, banknál láttam már ilyet. Ezt lehet még azzal trükközni, hogy azt hogy jelenleg inaktiválva vagy csak e-mailben küldöd el, nem írod ki, hogy a robot ezt ne észlelje és próbálkozzon tovább. Ebben az esetben van rá esélyed, hogy a valós jelszót is hibásnak érzékelje, magyarán átlépjen felette. De még ezt is trükközheted azzal, hogy bármire amivel próbálkozik, arra adsz egy olyan visszajelzést mitha sikerült volna belépni, de valójában csak azt írod ki neki, hogy inaktív a fiók még arra a jelszóra is, amit nem használ a user. Ezzel a brute force egy fake jelszót fog jónak látni.
Remélem tudtam segíteni.
Es ha veletlenul ujraindul a bruteforce bot, akkor konnyeden belep
Ennel sokkal jobb ha bannolod az IP-t par hibas kiserlet utan, aztan az egesz fiokot zarolod 15 percre ha masik IP-k rol is sok probalkozas jon. Kozben ertesited a tulajt + egy admint, aki megnezi hogyan lehet kitiltani a botot.
If debugging is the process of removing software bugs, then programming must be the process of putting them in.
Ruby blog
Give a man a fish and you feed him for a day. Teach a man to fish and you feed him for a lifetime.
Respect all, fear none
Jogos a felvetés
252525252525252525
Hatásos lehet ellene az, hogy ha látod, hogy sokszor próbálkozik ugyanonnan, akkor "engeded" belépni. Magyarán erre az esetre készítesz egy neki szánt belépőoldalt, amire azt hiheti, hogy megtörte, közben meg a valós adatok védve vannak.
Emphus (2014-06-25)
Könyvjelzők