最近我读到一篇关于防止暴力攻击的文章。它表示,自动禁用用户帐户是对抗字典攻击的一种较差的安全机制。首先,如果攻击者可以通过每 30 分钟错误猜测 3 次密码来禁用帐户,那么他就可以有效地阻止该用户访问系统。其次,因为该技术假设攻击者保持用户名不变并改变密码。如果攻击者保持密码不变并改变用户名怎么办?我们已经知道很大一部分用户使用“password”等常见密码。使用字典攻击的黑客可以为其用户名列表中的每个用户尝试“密码”,这不仅有很高的成功机会,而且还可以逃避帐户锁定逻辑。攻击者可以进行数千次登录尝试,即使每一次都失败,系统只会为每个帐户注册一次错误登录。
谁能给我一些建议,使禁用帐户更安全?
一些想法:
您可以保留历史上用于登录给定帐户的 IP 地址的历史记录。锁定机制可能会有所帮助,但对那些已识别的地址要宽松一点,以避免让用户的日子变得更糟。
对于另一种情况,即一个 IP 在多个帐户上尝试相同的密码,请跟踪同一 IP 地址是否在不同帐户上进行过多次无效尝试,然后将该 IP 锁定一小时左右。
如果僵尸网络使用多个 IP 对多个帐户尝试相同的密码,请跟踪是否有大量 IP 地址尝试相同的密码。如果是这样,请暂时设置为即使密码正确也必须连续输入两次。 (普通用户只会认为他们输错了密码。)
如前所述,如果检测到攻击,暂时需要验证码或其他一些安全问题(除了假装第一次尝试时有效密码不正确之外)。虽然验证码读取工具是可行的,但我认为它们还没有普及,而且 OCR 需要大量的 CPU 时间。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
