Атака брутфорс. Как предотвратить? Часть 1

Атака брутфорс . Как предотвратить?

брутфорсСамая распространённая угроза, с которой сталкиваются владельцы веб-ресурсов, это атака подбором пароля к аккаунту администратора, более известная как атака брутфорс . Атака брутфорс на деле – это систематический подбор всевозможных комбинаций к нашему паролю. Если сайт или блог требует ввод логина и пароля, то он является потенциальной жертвой хакера.


Атака брутфорс при прочих равных условиях является 100% выполнимой, но одной из главных отрицательных сторон этого метода взлома является срок исполнения. Да, на угадывание пароля могут уйти годы. В зависимости от сложности пароля, он может составлять триллионы комбинаций, но для владельцев сайта такая атака всегда является флудом, а удачные попытки взлома пароля скорее удача для хакера, который проник внутрь ресурса лишь благодаря безалаберности администратора. Такие атаки легко определяются, но предотвратить их невозможно. Например, запрет конкретного IP-адреса в ответ на повторяющиеся попытки зарегистрироваться легко обходятся хакером с помощью использования прокси-серверов, и блокирование атакующего IP-адреса малоэффективно.

Как предотвратить атаки брутфорс .

Самый простой вариант – элементарно заблокировать возможность входа в учётную запись после определённого числа неудачных попыток подбора пароля. Можно задать условия неверного ввода пароля (временной промежуток, скажем, 15 минут) и блокировка аккаунта до того момента, когда сам администратор лично не разблокирует. Однако политика блокирования учётной записи администратора не самый благоприятный вариант, так как

  • Хакером может быть предпринята DDoS-атака, блокирующая большое количество учётных записей
  • Заблокированными окажутся только реальные (валидные) точки входа в учётную запись. Этим можно воспользоваться, набрав целый список зарегистрированных пользователей, в ответ на ошибочный вход в их учётные записи.
  • Возможна блокировка учётных записей и, соответственно, флуд в сторону службы поддержки
  • Хакер может не прекращать попытки взлома аккаунта, даже в случае разблокировки учётной записи администратора, тем самым продолжая блокировку записи.
  • Хакер может хитрить и пробовать на прочность пароль одних входом в час  или даже реже

Таким образом, автоблокировка учётной записи будет эффективна лишь в случае пристального наблюдения за происходящим со стороны администратора лично. И в большинстве случае от DDoS-атаки она не спасает.

Раз уж мы убедились в недостаточности описанных выше мер, что ещё можно предпринять против потенциальной угрозы DDoS-атаки? Так как DDoS-атака имеет в своей реализации зависимость от времени её исполнения, самым простым вариантом можно было бы назвать использование произвольных временных промежутков при проверке набранного пароля и логина к учётной записи. Пары секунд задержки после удачной попытки законный пользователь не заметит, но для бруфорса это может оказаться фатальным. Но это произойдёт лишь в случае одноканальной попытки взлома. Если хакер отсылает несколько синхронных запросов, задержку во времени можно также легко обойти.

Какие ещё существуют способы читайте в Части 2.

Успехов

Запись опубликована в рубрике Мошенники. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

14 + 10 =