Атака брутфорс. Как предотвратить? Часть 1
08.05.2014Атака брутфорс . Как предотвратить?
Самая распространённая угроза, с которой сталкиваются владельцы веб-ресурсов, это атака подбором пароля к аккаунту администратора, более известная как атака брутфорс . Атака брутфорс на деле – это систематический подбор всевозможных комбинаций к нашему паролю. Если сайт или блог требует ввод логина и пароля, то он является потенциальной жертвой хакера.
Атака брутфорс при прочих равных условиях является 100% выполнимой, но одной из главных отрицательных сторон этого метода взлома является срок исполнения. Да, на угадывание пароля могут уйти годы. В зависимости от сложности пароля, он может составлять триллионы комбинаций, но для владельцев сайта такая атака всегда является флудом, а удачные попытки взлома пароля скорее удача для хакера, который проник внутрь ресурса лишь благодаря безалаберности администратора. Такие атаки легко определяются, но предотвратить их невозможно. Например, запрет конкретного IP-адреса в ответ на повторяющиеся попытки зарегистрироваться легко обходятся хакером с помощью использования прокси-серверов, и блокирование атакующего IP-адреса малоэффективно.
Как предотвратить атаки брутфорс .
Самый простой вариант – элементарно заблокировать возможность входа в учётную запись после определённого числа неудачных попыток подбора пароля. Можно задать условия неверного ввода пароля (временной промежуток, скажем, 15 минут) и блокировка аккаунта до того момента, когда сам администратор лично не разблокирует. Однако политика блокирования учётной записи администратора не самый благоприятный вариант, так как
- Хакером может быть предпринята DDoS-атака, блокирующая большое количество учётных записей
- Заблокированными окажутся только реальные (валидные) точки входа в учётную запись. Этим можно воспользоваться, набрав целый список зарегистрированных пользователей, в ответ на ошибочный вход в их учётные записи.
- Возможна блокировка учётных записей и, соответственно, флуд в сторону службы поддержки
- Хакер может не прекращать попытки взлома аккаунта, даже в случае разблокировки учётной записи администратора, тем самым продолжая блокировку записи.
- Хакер может хитрить и пробовать на прочность пароль одних входом в час или даже реже
Таким образом, автоблокировка учётной записи будет эффективна лишь в случае пристального наблюдения за происходящим со стороны администратора лично. И в большинстве случае от DDoS-атаки она не спасает.
Раз уж мы убедились в недостаточности описанных выше мер, что ещё можно предпринять против потенциальной угрозы DDoS-атаки? Так как DDoS-атака имеет в своей реализации зависимость от времени её исполнения, самым простым вариантом можно было бы назвать использование произвольных временных промежутков при проверке набранного пароля и логина к учётной записи. Пары секунд задержки после удачной попытки законный пользователь не заметит, но для бруфорса это может оказаться фатальным. Но это произойдёт лишь в случае одноканальной попытки взлома. Если хакер отсылает несколько синхронных запросов, задержку во времени можно также легко обойти.
Какие ещё существуют способы читайте в Части 2.
Успехов