apok Posted July 19, 2007 Posted July 19, 2007 Категорически приветствую всех! :-) Хотел поистересоваться каким образом у вас обстоят дела с защитой в разрезе сабжа. В нашей сети используются довольно короткие пароли, в частности, если воспользоваться картой, то там 4-значный пин, поменять его не представляется возможным, по крайней мере в ближайшей перспективе. К тому же логин/пароль универсальны и позволяют воспользоваться любой услугой. Возник вопрос связанный с безопасностью, т.к. возможность подбрать пароль, зная логин - дело техники, узнать логин, тоже довольно просто, думаю о способах рассказывать местной аудитории нет смысла. В общем случае пока реально осуществимы два способа: 1) Посылать Reject c задержкой в одну-две секунды, что не совсем решает проблему, но величивает время которое нужно будет потратить на перебор. 2) Устроить что-то вроде системы "банов", но это грозит высокой вероятностью DoS атаки, когда, нелегитимный (это определится после нескольких попыток авторизации с одним логином/разными паролями за один и тот же проежуток времени) пользователь сможет попытаться авторизоваться с нескольких логинов и они окажутся заблокированными - тогда реальный потребитель услуг окажется без таковых :( Предложите свои варианты. P.S. Сейчас рассматриваем вариант №2 + MAC-адрес, чтобы блокировать не логин, а его. Вставить ник Quote
Taras Posted July 19, 2007 Posted July 19, 2007 Категорически приветствую всех! :-) Хотел поистересоваться каким образом у вас обстоят дела с защитой в разрезе сабжа. В нашей сети используются довольно короткие пароли, в частности, если воспользоваться картой, то там 4-значный пин, поменять его не представляется возможным, по крайней мере в ближайшей перспективе. К тому же логин/пароль универсальны и позволяют воспользоваться любой услугой. Возник вопрос связанный с безопасностью, т.к. возможность подбрать пароль, зная логин - дело техники, узнать логин, тоже довольно просто, думаю о способах рассказывать местной аудитории нет смысла. В общем случае пока реально осуществимы два способа: 1) Посылать Reject c задержкой в одну-две секунды, что не совсем решает проблему, но величивает время которое нужно будет потратить на перебор. 2) Устроить что-то вроде системы "банов", но это грозит высокой вероятностью DoS атаки, когда, нелегитимный (это определится после нескольких попыток авторизации с одним логином/разными паролями за один и тот же проежуток времени) пользователь сможет попытаться авторизоваться с нескольких логинов и они окажутся заблокированными - тогда реальный потребитель услуг окажется без таковых :( Предложите свои варианты. P.S. Сейчас рассматриваем вариант №2 + MAC-адрес, чтобы блокировать не логин, а его. Сколько данных можно получить о "хацкере" столько и используйте. Если железо неуправляемое, то это только и будет MAC да логин. MAC, кстати, ему можно будет изменять с каждой попыткой подбора, благо тут вариантов больше чем в ваших паролях. Так что рассматривайте на ближайшую всётаки перспективу расширение пароля. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.