Téma: A brute force mindig hatásos?

A brute force támadás mindig hatásos módszer, nem lehet ellene védekezni? Van olyan rendszer amit nem lehet feltörni?

Általában lehet ellene védekezni, de ez attól függ, hogy miről van szó...
Ez kb olyan kérdés volt, hogy az én autómat könnyű feltörni? De hogy milyen autóm van, azt nem mondom meg...

Reggel 3 óráig próbálkoztam a konzervvel, de nem nyílt ki. Szóval ebben az esetben biztos nem hatásos!

Ma már azért elég jó védelmek vannak. Pl.: próbálj meg egy gmail fiókot brute force-al megtörni. Pár próbálkozás után captcha-t is kér. Ami jó, nem nagy védelem, mert van jó pár cég aki indiai szegényekkel megfejti neked őket nagyon olcsón, de akkor is pénzbe kerül. Illetve gondolom egy időutáni p alapján is bannolnak. Jó persze ekkor meg majd használsz proxykat, de eléggé megvan nehezítve a dolog. Ráadásul a gmail például ha bevan kapcsolva, értesíti a tulajt, hogy sok próbálkozás volt…

Szóval rengeteg hatékony védekezés van ellene. Persze mindet kilehet játszani, a kérdés az, hogy megéri e? Érdemes e ennyi pénzt és időt belefektetni?

a legegyszerűbb az "szerintem"

Ha 1 adott fiókba egy adott időintervallumon belül túl sokszor próbáltak meg belépni, akkor kezd el logolni, hogy mikkel próbálkoztak meg belépni. Elég egyet elkapni. Erre a jelszóra cseréld le a tulaj jelszavát és erről értesítsd, hogy 115 próbálkozás érkezett a fiókjába való belépésre így jelszavát biztonsági okokból megváltoztattuk erre: sksgksdngks, belépés után természetesen visszaállíthatja.

Ez azért jó szerintem, mert ha ezt a jelszót a brute force értéktelennek definiálta, akkor nem fog vele újra próbálkozni és biztonságban van a fiók.

Másik lehetséges út, hogy nem változtatod meg a jelszót, csak egyszerűen 1-2 órára inaktiválod, banknál láttam már ilyet. Ezt lehet még azzal trükközni, hogy azt hogy jelenleg inaktiválva vagy csak e-mailben küldöd el, nem írod ki, hogy a robot ezt ne észlelje és próbálkozzon tovább. Ebben az esetben van rá esélyed, hogy a valós jelszót is hibásnak érzékelje, magyarán átlépjen felette. De még ezt is trükközheted azzal, hogy bármire amivel próbálkozik, arra adsz egy olyan visszajelzést mitha sikerült volna belépni, de valójában csak azt írod ki neki, hogy inaktív a fiók még arra a jelszóra is, amit nem használ a user. Ezzel a brute force egy fake jelszót fog jónak látni.

Remélem tudtam segíteni.

Jogos a felvetés

252525252525252525

Hatásos lehet ellene az, hogy ha látod, hogy sokszor próbálkozik ugyanonnan, akkor "engeded" belépni. Magyarán erre az esetre készítesz egy neki szánt belépőoldalt, amire azt hiheti, hogy megtörte, közben meg a valós adatok védve vannak.

Rosejbni eredeti hozzászólása

Ma már azért elég jó védelmek vannak. Pl.: próbálj meg egy gmail fiókot brute force-al megtörni. Pár próbálkozás után captcha-t is kér. Ami jó, nem nagy védelem, mert van jó pár cég aki indiai szegényekkel megfejti neked őket nagyon olcsón, de akkor is pénzbe kerül. Illetve gondolom egy időutáni p alapján is bannolnak. Jó persze ekkor meg majd használsz proxykat, de eléggé megvan nehezítve a dolog. Ráadásul a gmail például ha bevan kapcsolva, értesíti a tulajt, hogy sok próbálkozás volt…

Mondjuk a gmail esetében botorság nem bekapcsolni a 2 lépcsős azonosítást, amikor a mobilodra küldött kódot is be kell írni a belépéshez. Így aztán nyugodtan próbálkozhatnak az indiai szegények, nem sokat érnek vele.