Pure Evil
Ты видно не вчитался.
Если пароль правильный и это первая попытка ввести правильный пароль, выдавать "пароль/логин неправильные".
То есть когда брутфорсер, который просто перебирает по очереди пароли, введёт правильный, зайти у него не получится, и он пойдёт дальше перебирать пароли.
А юзер, который пароль знает, просто введёт его второй раз.
Если пароль правильный и это первая попытка ввести правильный пароль, выдавать "пароль/логин неправильные".
То есть когда брутфорсер, который просто перебирает по очереди пароли, введёт правильный, зайти у него не получится, и он пойдёт дальше перебирать пароли.
А юзер, который пароль знает, просто введёт его второй раз.
Ты видно не вчитался.
Если пароль правильный и это первая попытка ввести правильный пароль, выдавать "пароль/логин неправильные".
То есть когда брутфорсер, который просто перебирает по очереди пароли, введёт правильный, зайти у него не получится, и он пойдёт дальше перебирать пароли.
А юзер, который пароль знает, просто введёт его второй раз.
Если пароль правильный и это первая попытка ввести правильный пароль, выдавать "пароль/логин неправильные".
То есть когда брутфорсер, который просто перебирает по очереди пароли, введёт правильный, зайти у него не получится, и он пойдёт дальше перебирать пароли.
А юзер, который пароль знает, просто введёт его второй раз.
Ох уж этот блядский тысячу раз перезагруженный рутер, но ниправильная без звонка в саппорт, они сразу скажут, что да, видим ваш рутер завис надо ЕЩЁ раз перезагрузить. И вот видите, это ваш рутер глючил, чотвы так переживаете.
А сами в тихую свои маршрутерезаторы ребутают по быстрому...
А сами в тихую свои маршрутерезаторы ребутают по быстрому...
На самомо деле клиенты просто постоянно пиздят, что роутер уже перезагрузили (Ставят себе всякое говно, но упорно думают, что проблема на стороне провайдера). По этому всегда просим ещё раз перезагрузить (Ну нельзя в ебало сказать, что пихдишь ты, я же вижу. Это ведь некультурно).
Ага, особенно когда пароль вводишь не руками, а копипастом, или через менеджер паролей.
либо начнет вспоминать свой пароль, а когда дойдет до смены пароля получит сообщение что нельзя использовать старый пароль
В Лиге Легенд так сделали. Первый ввод всегда в отказ.
Это пока не утечёт наружу, что пароль нужно дважды вводить. Перепишут робота, будет по два раза пробовать. Только дольше будет перебирать и всё. Лучше уж тогда сделать несколько паролей. Угадал первый, угадывай теперь второй. И чтобы требования по сложности у этих паролей были разные. А а в промежутках попросить одноразовый код из смс.
и данные с анального зонда
Имеется в виду первая попытка ввода правильного пароля
Брутфорсера проще ловить на переборе (или по атаке по словарю), ввёл X раз пароль неправильный - подожди Y минут.
Или более жёсткий кейс - сброс пароля после X неправильных паролей.
А если идёт вход по скомпрометированной базе, то и вводящий может ещё раз попробовать, особенно если в курсе что такая фича есть. (Такие люди делают несколько фиктивных аккаунтов чтобы понять поведение работы системы, а это легко вычисляется)
Или более жёсткий кейс - сброс пароля после X неправильных паролей.
А если идёт вход по скомпрометированной базе, то и вводящий может ещё раз попробовать, особенно если в курсе что такая фича есть. (Такие люди делают несколько фиктивных аккаунтов чтобы понять поведение работы системы, а это легко вычисляется)
У нас делали не просто задержку, а экспоненциальную. Т.е. второй раз ты уже попробуешь через секунду, третий - через 3 секунды, и так далее. И блокировка аккаунта через 15 подряд неверных попыток.
Причём на экран при вводе пароля пользователю выводится история попыток входа с твоего аккаунта (на глубину последних 5 дней, когда ты пользовался системой), это помогло ловить варианты, когда взлом распределён по времени, некоторые злоумышленники, прежде чем качать данные, вначале после входа должны ознакомится с информационной средой, чтобы понять, где что лежит, и маскировали, а это время, не всё делали сразу.
После введения таких мер, уже 4-е года, не совру - нет фактов взлома через подбор. А на прежней системе они были. У нас абонентская база "сладкая" для конкурентов, потому пытаютися её стянуть перманентно...
Причём на экран при вводе пароля пользователю выводится история попыток входа с твоего аккаунта (на глубину последних 5 дней, когда ты пользовался системой), это помогло ловить варианты, когда взлом распределён по времени, некоторые злоумышленники, прежде чем качать данные, вначале после входа должны ознакомится с информационной средой, чтобы понять, где что лежит, и маскировали, а это время, не всё делали сразу.
После введения таких мер, уже 4-е года, не совру - нет фактов взлома через подбор. А на прежней системе они были. У нас абонентская база "сладкая" для конкурентов, потому пытаютися её стянуть перманентно...
за сброс принудительный сброс пароля вам отдельное увлажнение народа.
прикинь расклад: доброумышленники спалили на каком-то сайте такую фишку. далее берётся база похаченых где-то-как-то ящиков электропочты к которым есть доутуп, с каждого идёт попытка входа X раз, и тебе на ящик прилетает ссылка на сброс пароля! ай спасибо!
прикинь расклад: доброумышленники спалили на каком-то сайте такую фишку. далее берётся база похаченых где-то-как-то ящиков электропочты к которым есть доутуп, с каждого идёт попытка входа X раз, и тебе на ящик прилетает ссылка на сброс пароля! ай спасибо!
Всё зависит от уровня доступа к системе.
Если это интернет-магазин, то такая штука там не нужна, а если вход в бекоффис с важной информацией, то там много разных вещей используется для пресекания несанкционированного входа, в том числе и сброс пароля может использоваться.
Если это интернет-магазин, то такая штука там не нужна, а если вход в бекоффис с важной информацией, то там много разных вещей используется для пресекания несанкционированного входа, в том числе и сброс пароля может использоваться.
Вообще не важно, сама практика что ты можешь каким-то образом вызывать на известный адрес почты форму сброса пароля которую ты не запрашивал явно - порочна. В идеале запрос сброса пароля на сайте у тебя должен требовать ввод почтового адреса куда (если мы говорим именно о таком способе сброса) и не говорить тебе было ли отправлено письмо или нет, т.е. не подтверждать что пользователь с таким мылом в системе вообще есть.
Сознайся, тебя тоже задолбали ежемесячные смены паролей, даже с наличием 3-факторной аутентификации? :D
А по поводу сабжа, если атака идёт целенаправленно на один аккаунт в критической инфраструктуре, то иногда бывает лучше совсем сбросить пароль, может тогда юзер не только пароль, но и логин сменит.
А ещё и телефон с почтой себе новый заведёт. Так, на всякий случай...
А по поводу сабжа, если атака идёт целенаправленно на один аккаунт в критической инфраструктуре, то иногда бывает лучше совсем сбросить пароль, может тогда юзер не только пароль, но и логин сменит.
А ещё и телефон с почтой себе новый заведёт. Так, на всякий случай...
Да, да "просто введет его второй раз" с точки зрения разраба (-__- )
А с практики:
Полезет менять пароль через почту и получит "Это ваш старый пароль, используйте новый" и начнет пригорать...
А с практики:
Полезет менять пароль через почту и получит "Это ваш старый пароль, используйте новый" и начнет пригорать...
Я тот, у кого один удобный и запомненный пароль развился кучей вариаций из-за "слишком легкий" и "пароль должен содержать буквы, цифры и рог единорога", а потом поди вспомни у какого сервиса какие требования к паролю, и какой в итоге пароль именно у этой учётки.
Просто записываешь куда-нибудь себе и всё. Только не сами пароли, а шифровки к ним. Утащит кто-нибудь мой файлик, а там GMAIL - 45h3jfy436, ну и думай теперь ,что это значит. А я знаю, как это легко превратить в правильные 35 символов с нужными регистрами и символами.
Хуже всего конечно было с рабочими учётками. Нет более тупой и вредной системы, чем "прошло N дней, меняем пароли". Треть пользователей начинают рабочий день со сброса пароля через заявку в поддержку, треть имеет стикер с паролем на мониторе, остальные лепят один и тот же пароль, наращивая цифру в конце. Вплоть до смешного, когда для расчёта "стажа" лезут не в личный кабинет, а смотрят какая там цифра в пароле на стикере монитора.
Хуже всего конечно было с рабочими учётками. Нет более тупой и вредной системы, чем "прошло N дней, меняем пароли". Треть пользователей начинают рабочий день со сброса пароля через заявку в поддержку, треть имеет стикер с паролем на мониторе, остальные лепят один и тот же пароль, наращивая цифру в конце. Вплоть до смешного, когда для расчёта "стажа" лезут не в личный кабинет, а смотрят какая там цифра в пароле на стикере монитора.
тут скорее всего нужно первая попытка ввода правильно пароля, а не вообще ввод пароля как такового
Всегда найдётся приколист, который по приколу начнёт перебирать логины, заранее вводя неправильный пароль. Просто чтобы у реальных пользователей случились проблемы со входом.
Ловить по адресу? Так у приколиста может быть весьма обширный пул адресов, да и реальный пользователь не на статике обычно сидит.
Ловить по адресу? Так у приколиста может быть весьма обширный пул адресов, да и реальный пользователь не на статике обычно сидит.
Если мы будет рассматривать нормальную, по уму написанную систему, то у реальных людей проблем не будет никаких. Реальные люди уже залогинены, им пофиг на попытки зайти под тем же логином, сессия то не сбрасывается. А те кто не залогинен, например у них та же сессия кончилась, вообще могут не заметить работы такой антибрут системы. То что тебя вылогинило, ещё не значит что у тебя сессия сбросилась или что кукиза в браузере удалилась. И вот ты приходишь логиниться с сессионной кукизой, и если антибрут система её видит, она просто не применяет по началу к тебе правила замедления. Ты для не её знакомый клиент. А брутфорсить пасс имея пусть и истёкшую но кукизу, это уже история из другой категории.
Чуть подушню. Эта хуйня по факту не работает - это просто внешняя по отношению к мощности пароля процедура входа, которая становится известна злоумышленнику даже чуть раньше, чем всем обычным пользователям. Намного эффективнее экспоненциальный рост задержки ответа системы при ошибочных попытках. С блокировкой аккаунта через 10-15-ть подряд неправильных.
Решаем одну проблему, создаем другую.
Представь, злоумышленник и узнал твой емейл, теперь ему достаточно 15 раз вести любой пароль и он заблокирует твой аккаунт. А если ты связался с администрацией и смог их убедить разблокировать твой аккаунт, то он сделает это повторно.
Представь, злоумышленник и узнал твой емейл, теперь ему достаточно 15 раз вести любой пароль и он заблокирует твой аккаунт. А если ты связался с администрацией и смог их убедить разблокировать твой аккаунт, то он сделает это повторно.
15-й раз - это надо ждать сутки. Первые 3 попытки можно сделать в пределах 5 секунд. Экспонента - она такая.
Да, действительно, так можно пакостить, но по факту таких случаев пока не было. Всё же намеренно пакостить - это дезавуировать себя, зловредам же важно и прийти, и уйти незамеченными. Зачем волновать отдел ИБ, они же насторожатся, взведут свои большие мушкеты, расставят силки и прочая...
Получить же список учёток (без паролей) - это тоже надо суметь, логин-то принимается по хешу, в открытом виде его в БД нет.
В общем, пока таких инцидентов не было.
Зато пользователи сказали отдельное спасибо, что после введения такой системы мы сняли драконовские меры к длине пароля, спецсимволам, уменьшили кардинально требования по частоте смены и прочая (проверка на качество пароля есть, но она лайтовая). Потому что слабая сложность пароля теперь парируется сложностью процедуры логона.
Да, действительно, так можно пакостить, но по факту таких случаев пока не было. Всё же намеренно пакостить - это дезавуировать себя, зловредам же важно и прийти, и уйти незамеченными. Зачем волновать отдел ИБ, они же насторожатся, взведут свои большие мушкеты, расставят силки и прочая...
Получить же список учёток (без паролей) - это тоже надо суметь, логин-то принимается по хешу, в открытом виде его в БД нет.
В общем, пока таких инцидентов не было.
Зато пользователи сказали отдельное спасибо, что после введения такой системы мы сняли драконовские меры к длине пароля, спецсимволам, уменьшили кардинально требования по частоте смены и прочая (проверка на качество пароля есть, но она лайтовая). Потому что слабая сложность пароля теперь парируется сложностью процедуры логона.
Иногда пакость это просто пакость, а не желание своровать. Тут за примерами далеко ходить не надо. Знаете как убер устранял конкурентов? Делал сотни и тысячи заказов у них и отменял их. Пока машины конкурентов были заняты фальшивыми заявками, свободный убер забирал клиентов. Так же и пиццерии воевали и много кто ещё. Гадить конкуренту, чтобы переманивать. Можно много способов борьбы с этим придумывать, но оно всё равно какую-то часть реальных пользователей заденет.
Как можно пакостить - методов море. Но если внимательно следить за методами, то всегда можно, очень гибко парировать.
ИБ - это постоянно работающая служба, которая постоянно (в нормальном режиме - на упреждение) анализирует потенциальные векторы угроз.
Но мы анализируем только то, что угрожает именно нам, хотя и почитываем, разумеется, чужие кейсы. Для расширения кругозора и развлечения.
В примере того же Убера конкуренты, попавшие под такого рода атаку могли бы сделать очень многое (создать верификационную базу, ввести встречные звонки, кросс-валидацию и прочая). Могли, определив вектор, создать встречные проблемы уже самому Уберу в таких недобросовестных атаках (в нашей конторе такого кейса атак не было, но я знаю по личным связям контору, которая при обнаружении примерно такого рода атаки против себя через руководство сделали прямой звонок конкурентам с предложением "вы хотите, чтобы мы действовали также против вас?", и это, внезапно, проблему как рукой сняло). Многое можно. Если думать и действовать.
Пакостники есть всегда, но когда ты планомерно максимально усложняешь им работу и ломаешь кайф, не поверите, упорных "за просто так" крайне мало...
ИБ - это постоянно работающая служба, которая постоянно (в нормальном режиме - на упреждение) анализирует потенциальные векторы угроз.
Но мы анализируем только то, что угрожает именно нам, хотя и почитываем, разумеется, чужие кейсы. Для расширения кругозора и развлечения.
В примере того же Убера конкуренты, попавшие под такого рода атаку могли бы сделать очень многое (создать верификационную базу, ввести встречные звонки, кросс-валидацию и прочая). Могли, определив вектор, создать встречные проблемы уже самому Уберу в таких недобросовестных атаках (в нашей конторе такого кейса атак не было, но я знаю по личным связям контору, которая при обнаружении примерно такого рода атаки против себя через руководство сделали прямой звонок конкурентам с предложением "вы хотите, чтобы мы действовали также против вас?", и это, внезапно, проблему как рукой сняло). Многое можно. Если думать и действовать.
Пакостники есть всегда, но когда ты планомерно максимально усложняешь им работу и ломаешь кайф, не поверите, упорных "за просто так" крайне мало...
> Получить же список учёток (без паролей) - это тоже надо суметь
Ackchyually, говно вопрос, посмотреть в слитые базы емейлов популярного сервиса, или базу телефонов от оператора купить у нужных людей
при переборе в ширину (фиксируется пароль и перебирается по большому кол-ву пользователей, задержки не дадут вообще никакой защиты
поэтому кому нужна безопасность - как минимум второй фактор сразу прикручивают
Ackchyually, говно вопрос, посмотреть в слитые базы емейлов популярного сервиса, или базу телефонов от оператора купить у нужных людей
при переборе в ширину (фиксируется пароль и перебирается по большому кол-ву пользователей, задержки не дадут вообще никакой защиты
поэтому кому нужна безопасность - как минимум второй фактор сразу прикручивают
> базы емейлов или телефонов
в смысле берешь базу пользователей одного сервиса и прикладываешь к другому, если он популярен в том же регионе, то будет много пересечений
в смысле берешь базу пользователей одного сервиса и прикладываешь к другому, если он популярен в том же регионе, то будет много пересечений
Базу логинов чтобы слить на сторону - её нужно знать, а если мы храним только хеш - как вы её получите? Я вот (архитектор системы, на минутку) получить её не могу никак. Собрать по сусекам у пользователей? Ну, теоретически можно, но рисков там, чтобы прошло мимо ИБ незамеченным - воз и тележка.
Взять всю базу номеров региона и попытаться стучать на наш авторизационный сервис, перебирая в ширину - на здоровье, но вы правда думаете, что это пройдёт незамеченным? DDoS мы отсекаем, у нас пользователи довольно стабильны по сетевым путям. В сеансовой части протокола верификации есть инфа по последней успешной сессии, если её нет, мы даже не примем запрос. Вы установите снифер на каждвй комп клиента, чтобы собирать сеансовую инфу, для её моделирования и подмены? Ну, знаете ли... Анализируется КАЖДЫЙ неуспех ошибки логона. По учёткам хранятся частотные профили времён сессий. Нарушение частотности сессий - анализируется. Как и многое другое.
И это я так, по верхам.
Я не говорю, что нельзя проломить нашу защиту. Но пока справляемся...
Взять всю базу номеров региона и попытаться стучать на наш авторизационный сервис, перебирая в ширину - на здоровье, но вы правда думаете, что это пройдёт незамеченным? DDoS мы отсекаем, у нас пользователи довольно стабильны по сетевым путям. В сеансовой части протокола верификации есть инфа по последней успешной сессии, если её нет, мы даже не примем запрос. Вы установите снифер на каждвй комп клиента, чтобы собирать сеансовую инфу, для её моделирования и подмены? Ну, знаете ли... Анализируется КАЖДЫЙ неуспех ошибки логона. По учёткам хранятся частотные профили времён сессий. Нарушение частотности сессий - анализируется. Как и многое другое.
И это я так, по верхам.
Я не говорю, что нельзя проломить нашу защиту. Но пока справляемся...
А как вы пользователям письма шлёте? Или вы не шлёте? А если шлёте, значит непохешеные электропочты у вас лежат где-то. Или у вас что инфа о пользователях на разные базы разнесена? Логины отдельно, посты отдельно? Или как оно вообще работает? А номера телефонов, если храните, тоже похешены?
Надо отделять мух от котлет.
Злоумышленнику, чтобы получить доступ к системе - нужен именно логин (хотя бы). С паролем он плясать отдельно будет.
А почта, как и телефоны, если желаете (или обязаны по штатному расписанию) получать от нас рассылки - это атрибут клиента, его контактные данные, они есть в БД, но совершенно не обязательно это его логин. В качестве логина мы примем что угодно (уникальную строку длиной более 10 символов). Просто, если уровень доступа и требуемых запрошенных сервисов роли высок, мы потребуем валидации аккаунта через его контакты (телефон с двухфакторкой или корпоративную почту, ни в коем случае не бесплатные помойки).
Если пользователь введёт свою почту как логин, у нас сработает эмпирика на качество аккаунта, и мы сразу предложим заменить логин. Надо 3 раза будет нажать условно "Да блять хочу, хочу я почту как аккаунт!" - чтобы система приняла это даже для аккаунта, которому доступно чуть менее чем нихуя (например, есть куча пользователей, которым нужен только визуальный мониторинг чего-то там, без прав на изменение и активные действия, там эмпирики слабые). А для ролей с высокими правами доступа мы никогда не примем почту как логин. Даже корпоративную. Именно потому, что мы знаем о таком звере как поиск по отрытым базам личной информации.
Вообще эмпирики на качество как атрибутов аккаунта, так и на сессионную статистику - великая вещь! 90% проблем можно избежать, если внимательно смотреть на то, что, как и когда именно пользователи используют в качестве логинов/паролей. И логины хранить у нас не нужно, всё, что мы знаем, что мы проверили, и хеш (с хлебом-солью, конечно) по логину не совпадает с хешами ни одного из атрибута клиентов (имя, фамилия, почта, телефон, имя кошки и прочая).
Злоумышленнику, чтобы получить доступ к системе - нужен именно логин (хотя бы). С паролем он плясать отдельно будет.
А почта, как и телефоны, если желаете (или обязаны по штатному расписанию) получать от нас рассылки - это атрибут клиента, его контактные данные, они есть в БД, но совершенно не обязательно это его логин. В качестве логина мы примем что угодно (уникальную строку длиной более 10 символов). Просто, если уровень доступа и требуемых запрошенных сервисов роли высок, мы потребуем валидации аккаунта через его контакты (телефон с двухфакторкой или корпоративную почту, ни в коем случае не бесплатные помойки).
Если пользователь введёт свою почту как логин, у нас сработает эмпирика на качество аккаунта, и мы сразу предложим заменить логин. Надо 3 раза будет нажать условно "Да блять хочу, хочу я почту как аккаунт!" - чтобы система приняла это даже для аккаунта, которому доступно чуть менее чем нихуя (например, есть куча пользователей, которым нужен только визуальный мониторинг чего-то там, без прав на изменение и активные действия, там эмпирики слабые). А для ролей с высокими правами доступа мы никогда не примем почту как логин. Даже корпоративную. Именно потому, что мы знаем о таком звере как поиск по отрытым базам личной информации.
Вообще эмпирики на качество как атрибутов аккаунта, так и на сессионную статистику - великая вещь! 90% проблем можно избежать, если внимательно смотреть на то, что, как и когда именно пользователи используют в качестве логинов/паролей. И логины хранить у нас не нужно, всё, что мы знаем, что мы проверили, и хеш (с хлебом-солью, конечно) по логину не совпадает с хешами ни одного из атрибута клиентов (имя, фамилия, почта, телефон, имя кошки и прочая).
Тем временем я, который вставляет пароль из буфера![HETinÖflÖjRHTEJjbHO],it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Смешные комиксы,веб-комиксы с юмором и их переводы](https://img2.joyreactor.cc/pics/comment/it-юмор-geek-Комиксы-5160682.jpeg "it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Смешные комиксы,веб-комиксы с юмором и их переводы")
Не, у меня там шифровки. Так что сперва прописываю его в блокноте, и из него копирую.
Добавляешь пробел в конце пасса, и при даблклике в блокноте пасс будет выделяться, копироваться и вставляться с пробелом, при нажатии на глазок -с виду все ок :)
И как это будет работать? Чтобы написать скрипт, злоумышленник изучает атакуемый сайт. Уже на этом этапе он поймет, что верный пароль надо вводить 2 раза.
А как? Это хранимая процедура. Ты сюда с мастер-логином от мускула вломился?
Что он там собрался изучать для тупого брутфорса?
Чтобы написать коммент, необходимо залогиниться
Отличный комментарий!