Немного исследовав безопасность и атакаустойчивость форума я решил сделать некоторые разъяснения для пользователей и советы для администраторов.
Специалистам известно, что не существует систем, которые невозможно взломать. Этот как борьба брони и пули, чем надежнее становится защита, тем сильнее снаряд. Чем больше мы хотим сделать возможностей и удобств для пользователей, тем уязвимее становится система. Но задача нас, как IT-специалистов, сделать труд хакера неудобным, долгим и трудным, что бы игра просто не стоила свеч. Нужно заметить, что самая большая уязвимость исходит от БЕСПЕЧНОСТИ пользователей. Какие бы мы не делали защиты от подбора паролей, если пароль состоит, например, из даты рождения его можно подобрать с ПЕРВОЙ попытки, а если не получилось, - пробовать у следующего пользователя. Даже если в системе будет счетчик попыток, то хакеры будут делать подбор чередуя его с удачным входом. Три раза попробовали пароль, один раз вошли под заведомо известным и правильным пользователем и паролем, и так по циклу.
Требование безопасности для самих пользователей.
Делать сложные пароли.
1.Не использовать в качестве пароля свою дату рождения (Особенно это касается девушек).
2. Не использовать в качестве пароля свой ник, свое имя, уменьшительные варианты своего имени.
И не думайте, что «кому я нужен, да ни кто не будет взламывать мой пароль» Лично вы может и не нужны, но ваше имя(вместе с сотней других таких же беспечных пользователей) может понадобится для какой-либо массовой рассылки, спама и т.д
Требование безопасности для программистов.
1. При регистрации проверять, что бы пароль не состоял из одних цифр и не совпадал с именем и ником пользователя. Всего 2 проверки, а на сколько меньше проблем.
2. Главное оружие хакера – это список пользователей. Так надо просто этот список сделать недоступным (общедоступным). Зачем незарегистрированному пользователю (гостю) иметь доступ к общему списку всех пользователей и их профилю?
А если пользователь зарегистрирован и хочет посмотреть список пользователей? Для этого есть поиск пользователя по имени «Имена начинаются», «Имя содержит». Этого достаточно, что бы найти человека, но зато не даст просто перебирать все имена по циклу. Вряд ли дружелюбный пользователь будет просто листать 100 страниц со списком, что бы просто посмотреть имена пользователей.
Понятно, что сейчас программисты редко пишут форумы сами, а используют CMS. Но этот алгоритм нетрудно организовать и в них, при некотором знании PHP и MeSQL.
И так? |
У меня сложный пароль, который трудно подобрать. | | 10 | 83,3% |
У меня паролем была дата рождеия или имя, но я поменял его. | | 0 | |
Я настолько глуп, что прочитав все это оставил простой пароль, понимая, что это угрожает безопасности окружающих. | | 2 | 16,7% |
Total 12 votes, last 11 May 2014.
dicaНет, перебор по алфавиту дошел только до пользователей на буквц "b", а еслиб шел дальше - как знать
. (и цель была не качество а количество)
По поводу сложности парольей. Девченке, которая не хотела менять свой простой пароль и давала его кому не лень, я поставил такой пароль "HfCcRf:tIm_RjVe-CdJq|GfHjKm,PfCnHtK." и поставил запрет на смену пароля пользователем.
Она даже директору пыталась жаловатся, но он ей тоже сказал - учи пароль! Через неделю он до неё дошел, сейчас уже за 5 секунд его без ошибок набирает
P.S.
"HfCcRf:tIm_RjVe-CdJq|GfHjKm,PfCnHtK."
"РаСсКаЖеШь_КоМу-СвОй/ПаРоЛь,ЗаСтРеЛю"
Вот какую тему откопал.
Позавчера посетил семинар-презентацию по системам шифрования данных в свете импортозамещения
, а вчера безымянный жовто-блокидный "кулхацкер" (с) попытался увести аккаунт в Steam ("Совпадение? Не думаю" (с)
). Но видимо недостаток сала сказывается на умственных особенностях - он попытался взломать двухфакторную авторизацию не зная и не имея возможности получить одноразовый открытый ключ. Д.Б. (с).
Берегите данные, регулярно меняйте пароли и делайте их не менее 16 знаков.