Методы кражи паролей и противодействие этим методам
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Методы кражи паролей и противодействие этим методам - 2008-09-25 12:26:59.293333
|
|
|
wilderwind
Сообщений: 269
Оценки: 0
Присоединился: 2006-05-28 13:41:45
|
Приветствую! Тут вот у меня мысль есть, и я её думаю…
Существует море цифровых сервисов, защищенных по способу "логин/пароль". Начиная от домофонов, PIN-кодов, аськи, мыла и заканчивая неизвестно чем, вроде компьютеров Пентагона или пультом управления запусками баллистических ракет. Ну, это я уже загнул, но смысл сказанного, думаю, понятен.
Как следствие, находится море желающих совершить разные противоправные действия, от засаживания трояна и брута до нанесения спецсоставов, светящихся в ультрафиолете, на клавиши, и т.д. и т.п.
Так вот. От физического доступа к некой сверхсекретной цели, защищенной логином/паролем, должны защищать спецназовцы в бронежилетах (или минное поле как вариант, т.е. физическая, материальная защита). А вот от брута должна быть защита программная.
СУТЬ: имеется некоторое конечное число вариантов пароля, например, 10 миллиардов. Трояна засадить возможности нет, уязвимости в удаленной системе не найдены, остается брут. В данном случае цель - защитить систему от потенциального брута (ту же аську, например). ПОЧЕМУ бы не увеличить интервал между попытками ввода пароля, например, до 25 секунд? Тогда всякий смысл брута теряется начисто даже при количестве вариантов пароля в 10 миллионов, а для пользователя в случае ввода неверного пароля нет риска быть заблокированным… Случаи паролей вроде qwerty, конечно, здесь не обсуждаются.
У кого какие мысли относительно сабжа?
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-25 12:44:27.470000
|
|
|
xxx
Сообщений: 639
Оценки: 0
Присоединился: 2004-04-12 14:58:57
|
ну первое - это блокировка IP при N количестве попыток доступа с него
второе - увеличение интервала между повторением попыток
третье - крутая рандомная прыгающая капча
Собственно этого хватит.
но можно продолжить.
четвёртое - привязка к IP адресу пользователя(по желанию)
пятое - изменение пароля при определённом количестве неправильного ввода пароля и отсылка нового ему на почту(но этот вариант таит в себе уязвимость, и очень большую- если вскрыта почта пользователя то пасс к аккаунту точно будет получен) - также возможна отсылка количества изменений пароля на сервере, при этом пользователь на ту же самую почту получает число - сгенерированное сервером и прогоняя его через только ему извесстный алгоритм - получает новый пароль для доступа. Привести пример для пятого пункта или ясно?
Все изложенные мной варианты - не учитывают использование клиентской части на машине пользователя.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-25 13:49:32.136666
|
|
|
wilderwind
Сообщений: 269
Оценки: 0
Присоединился: 2006-05-28 13:41:45
|
1. Блокировка IP отличный способ, но в большинстве случаев неприменим, особенно для любителей прятаться за проксями или обладателей динамического ипа
2. Про капчу где-то на сайте есть хорошая статья… Влом искать
3. Привязка к IP тоже надежно, однако см. №1
4. Привязка к почте чревата уязвимостью угона почты, как было сказано
5. Изменение пароля по определенному алгоритму - хорошо, но в случае угона почты пасс будет невозможно восстановить
ВЫВОД: увеличение таймаута между попытками входа в систему - наиболее простой в реализации и использовании и наиболее сложный в обходе способ. Если не сказать невозможный, т.к. даже proxychain не поможет взломщику: попытка входа есть попытка входа, с каких бы адресов она ни производилась.
У кого есть другие идеи или критика существующих пунктов? :D
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-25 14:12:42.863333
|
|
|
xxx
Сообщений: 639
Оценки: 0
Присоединился: 2004-04-12 14:58:57
|
quote:
ORIGINAL: wilderwind
1. Блокировка IP отличный способ, но в большинстве случаев неприменим, особенно для любителей прятаться за проксями или обладателей динамического ипа
2. Про капчу где-то на сайте есть хорошая статья… Влом искать
3. Привязка к IP тоже надежно, однако см. №1
4. Привязка к почте чревата уязвимостью угона почты, как было сказано
5. Изменение пароля по определенному алгоритму - хорошо, но в случае угона почты пасс будет невозможно восстановить
ВЫВОД: увеличение таймаута между попытками входа в систему - наиболее простой в реализации и использовании и наиболее сложный в обходе способ. Если не сказать невозможный, т.к. даже proxychain не поможет взломщику: попытка входа есть попытка входа, с каких бы адресов она ни производилась.
У кого есть другие идеи или критика существующих пунктов? :D
Я не совсем согласен с выводом=) Ведь задержка по времени имеет свой недостаток. Ну к примеру ограничение на 10-15 минут. А если больше - то это неудобство для настоящего пользователя системы.
ИМХО самое надёжное это не увелечение временных интервалов а рандомнаяя капча. Защищённая от программ распознования.
1 - блокировка IP всё же это усложняет задачу, по сути ровно настолько же на сколько задержка по времени.
2 - по сути полная защито от автобрута. Статей море.
3 - Ты не совсем понял что есть такое привязка к IP. Привязка к IP в данном случае - это когда к учётке привязывается один или несколько IP- шников. И только с них возможна авторизация. К пункту 1 это не имеет никакого отношения)
4 - тут всё ясно.
5 - ну здесь всё просто можно дать не один источник отсылки. К примеру несколько ящиков, SMS - кой(хороший вариант), пейджиногвое сообщение. Благо средст связи в наше время достаточно.
Мой вывод: Не нужно ограничиватся одним, способом - используя их в совокупности можно добится гораздо большего. Включай фантазию. Мысли не как защитник а как взломщик. В частности используя в совокупности три первых способа - ты уже обеспецишь защиту от брута.
Последние два уже спецификации их можно дополнять. Я ведь так понимаю Мы говорим про он лайн сервис?) Если сервис локальный - то способов ещё больше.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 02:34:48.200000
|
|
|
Knifffe
Сообщений: 52
Оценки: 0
Присоединился: 2007-01-19 01:00:50.403333
|
Если увеличить время ввода пароля до 25 секунд, это хороший способ защиты от брута, но есть одно но… "попытка входа есть попытка входа, с каких бы адресов она ни производилась" т.е. получается можно посадить одного бота на широком канале и он один перекроет большую часть пользовательских аккаунтов, т.к. пользователь не сможет зайти в систему под своим логином (т.к. бот каждые 25 секунд вводит новый пароль). таким образом понятно почему таой способ защиты не используют…
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 12:01:37.933333
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Вот-вот, появится ещё и "ICQ-DoS" :D
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 13:07:16.070000
|
|
|
wilderwind
Сообщений: 269
Оценки: 0
Присоединился: 2006-05-28 13:41:45
|
quote:
ORIGINAL: JTG
Вот-вот, появится ещё и "ICQ-DoS" :D
Та ну нафих, перед вводом пароля цветную картинку с цифрами/буквами боту покажи (капча, как и было сказано) - и он обломается в 99% случаев. Плюс таймаут ввода пароля, если после корректного распознавания картинки был неверный ввод. А всего-то несколько строк кода в аську дописать, или вообще плагином сделать для желающих защитить свой уин. Конечно, и на серваке придется немного поменять процедуру входа…
В результате и не сложно в реализации, и обойти сомнительно, и для настоящего пользователя не сложно и привычно, и DoS провести уже будет проблематично, т.к. таймаут только после правильного ввода символов с картинки, но неверного ввода пароля, а не распознавшие картинку идут нах…
P.S. И не обязательно крутую рандомную капчу: достаточно написать даже простым текстом что-то вроде "Сколько будет 2 плюс 2?", и бот будет в ужасе… Не понимайте буквально, я просто пример привёл, как можно не картинку, а текст использовать. И это решение тоже далеко не новое.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 13:53:30.730000
|
|
|
xxx
Сообщений: 639
Оценки: 0
Присоединился: 2004-04-12 14:58:57
|
quote:
ORIGINAL: wilderwind
P.S. И не обязательно крутую рандомную капчу: достаточно написать даже простым текстом что-то вроде "Сколько будет 2 плюс 2?", и бот будет в ужасе… Не понимайте буквально, я просто пример привёл, как можно не картинку, а текст использовать. И это решение тоже далеко не новое.
Не согласен. Если капча не рандомная - она обходится! Это доказанно.
Окей к примеру будет у тя там несколько выражений
2+2=?
3+3=?
4*2=?
и поле для ввода.
Их полюбому ограниченное количество так? Тогда при написании бота я пропишу ему чтоб он считывал поле с вопросом и прогонял по массиву с вариантами - которые я туда внесу немного попробовав ручками - и бот будет сам подбирать ответ. Ведь количество ограничено. От такого давно все отказались.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 14:05:49.296666
|
|
|
wilderwind
Сообщений: 269
Оценки: 0
Присоединился: 2006-05-28 13:41:45
|
quote:
ORIGINAL: xxx
quote:
ORIGINAL: wilderwind
P.S. И не обязательно крутую рандомную капчу: достаточно написать даже простым текстом что-то вроде "Сколько будет 2 плюс 2?", и бот будет в ужасе… Не понимайте буквально, я просто пример привёл, как можно не картинку, а текст использовать. И это решение тоже далеко не новое.
Не согласен. Если капча не рандомная - она обходится! Это доказанно.
Окей к примеру будет у тя там несколько выражений
2+2=?
3+3=?
4*2=?
и поле для ввода.
Их полюбому ограниченное количество так? Тогда при написании бота я пропишу ему чтоб он считывал поле с вопросом и прогонял по массиву с вариантами - которые я туда внесу немного попробовав ручками - и бот будет сам подбирать ответ. Ведь количество ограничено. От такого давно все отказались.
…Сколько тедуб авд и десять? Сказал же, НЕ ПОНИМАЙТЕ БУКВАЛЬНО, так нет…
P.P.S. Если как текстовую капчу использовать простейшие для человека логические загадки (типа "Что даёт корова?"), то это будет вообще полный аут. Тест Тьюринга, насколько я знаю, ещё ни одна машина не прошла. И попробуйте составить словарь для брута под такую капчу… Мозг взорвётся.
НЕ ГОВОРЯ УЖЕ О ТОМ, что текстовая капча давно используется в антиспам-боте QIP, и ответь на мой антиспам-вопрос "Что такое бесконечно самоподобная геометрическая фигура, каждый фрагмент которой повторяется при уменьшении масштаба?". Скажу - это фрактал. Конечно, на вход в аську для пользователей такие вопросы ставить нельзя, но смысл понятен, я думаю.
ИЛИ такой вопрос текстовой капчи:"Введите слово /\@$T04|<@"
Если какой-нибудь бот такое прочитает, я поверю в терминатора… Ребусы и человеку-то отгадать - подумать надо, мозгом пошевелить.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 14:24:56.646666
|
|
|
xxx
Сообщений: 639
Оценки: 0
Присоединился: 2004-04-12 14:58:57
|
wilderwind, не кипятись. Я ж не обидеть тебя хочу( Просто делюсь с тобой своими мнениями. Могу и перестать если хочешь.
Повторюсь ещё раз если количество вопросов ограничено - то это уже уязвимость - все они заносятся в массив - и при считывании вопроса бот - подставляет ответ из массива.
по поводу quote:
"Введите слово /\@$T04|<@" Вообще неверно в корне. Бот скопипастит это /\@$T04|<@ загонит в массив и вставит в поле ответа ответ, опять таки из массива с ответами. Пример привести? По сути любой алгоритм - в этом случае уязвимость. Потому как любой алгоритм - можно просчитать и написать обратный.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 15:13:10.103333
|
|
|
wilderwind
Сообщений: 269
Оценки: 0
Присоединился: 2006-05-28 13:41:45
|
quote:
ORIGINAL: xxx
wilderwind, не кипятись. Я ж не обидеть тебя хочу( Просто делюсь с тобой своими мнениями. Могу и перестать если хочешь.
Повторюсь ещё раз если количество вопросов ограничено - то это уже уязвимость - все они заносятся в массив - и при считывании вопроса бот - подставляет ответ из массива.
по поводу quote:
"Введите слово /\@$T04|<@" Вообще неверно в корне. Бот скопипастит это /\@$T04|<@ загонит в массив и вставит в поле ответа ответ, опять таки из массива с ответами. Пример привести? По сути любой алгоритм - в этом случае уязвимость. Потому как любой алгоритм - можно просчитать и написать обратный.
А я и не кипячусь! Напротив, мне кажется, у нас получается довольно конструктивная дискуссия :D В споре рождается истина!
Скажу даже больше. Например, есть n-ное количество вопросов в текстовой капче. Соответственное же количество ответов. Возьмём это количество за 1000. Ты знаешь все ответы на эти вопросы и написал бота, подбирающего… ну ты понял. НО! Задаётся вопрос, бот отвечает одним из имеющихся у него в базе слов. Капча при неверном ответе изменяется. Каков шанс угадать 1 из 1000 ответов? Довольно низкий. К тому же наша цель - не создать непроходимую капчу. Случайное угадывание допустимо и даже желательно! Так как, угадав, бот проходит дальше, брутит одним-единственным вариантом пароль аси, после чего его посылают в таймаут и новое угадывание капчи. К тому же скорость канала не позволит использовать мощность твоего проца на полную при угадывании.
Что мы получаем? Легчайшую в организации и применении (в том числе и для юзера!) текстовую капчу, практически непреодолимую для бота. А словарь для неё можно сразу выложить в паблик - защита от этого не пострадает ни на процент. А выкладывать-то никто не будет, и количество вариантов неизвестно… Кто хочет - пусть брутит вручную :D
Опять же, не надо рассматривать примеры конкретно "Что дает корова" = "Молоко". Это как 2+2=4. На самом деле вопросом может быть какая угодно фраза, та же загадка например. И какой ответ ей сопоставить - может понять только человек, скопипастить и прогнать по базе уже не прокатит.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 15:15:43.853333
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Если ещё и при входе в аську каптчу сделают - я уйду в горы (скайп тобишь, или жаббер или что там ещё есть)
Зметьте, как усложнилась ситема: server-side таймаут - капчта - боты умнеют - крутая каптча - новые пользователи тупят (коты на рапидшаре), и тоже идут в горы. Не говоря уже о загрузке сервера, которая повысится в разы из-за таких наворотов.
Лучше уж длину пароля больше сделать и обязаловку на буквы+цифры
–
Кстати, не понимаю почему до сих пор нет сервиса для [глупых людей] типа "Зароботок в сети! Распознай 100 каптч - получи 50 центов!" Реализация тривиальна - платная прога "ломалка-каптч", передающая каптчи на сервер, распределяющий её между клиентами, которые её распознают за копейки.
Или даже ещё тривиальнее - передача на порносайт, на котором за распознавание показывают картину :D Элементарно ведь. Может быть это говорит как раз о том, что пока Великий ИИ легко справляется с антиботами
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 15:21:36.373333
|
|
|
undefucker^_^
Сообщений: 232
Оценки: 0
Присоединился: 2008-07-21 20:35:44.686666
|
Ну скачай все капчи с укоза и спамь спамь спамь на ихних сайтах и регься по 100000000 акков.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 15:31:25.033333
|
|
|
wilderwind
Сообщений: 269
Оценки: 0
Присоединился: 2006-05-28 13:41:45
|
quote:
ORIGINAL: JTG
Лучше уж длину пароля больше сделать и обязаловку на буквы+цифры
А вот это реально было бы неплохо, даже без обязаловки на цифробуквенный пасс… Попробуй угадать нечто из 20 символов. Даже суперкомпьютеры будут подбирать, пока у взломщика внуки не появятся.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 15:39:06.036666
|
|
|
xxx
Сообщений: 639
Оценки: 0
Присоединился: 2004-04-12 14:58:57
|
quote:
Скажу даже больше. Например, есть n-ное количество вопросов в текстовой капче. Соответственное же количество ответов. Возьмём это количество за 1000. Ты знаешь все ответы на эти вопросы и написал бота, подбирающего… ну ты понял. НО! Задаётся вопрос, бот отвечает одним из имеющихся у него в базе слов. Капча при неверном ответе изменяется. Каков шанс угадать 1 из 1000 ответов? Довольно низкий. К тому же наша цель - не создать непроходимую капчу. Случайное угадывание допустимо и даже желательно! Так как, угадав, бот проходит дальше, брутит одним-единственным вариантом пароль аси, после чего его посылают в таймаут и новое угадывание капчи. К тому же скорость канала не позволит использовать мощность твоего проца на полную при угадывании. Стоп стоп))
Может я не совсем верно объяснил. Боту не нужно будет брутить капчу.
он просто будет её проходить. считывая вопрос и подставляя ответ. Разумеется на ступении написания бота - придётся просмотреть все вопросы и внести их в массив к которому бот будет обращаться бот.
К примеру. В поле вопроса написано. У кого 4 сиськи рога и она мычит? вот считывает эту строчку и загоняет в массив на проверку - где в заранее занесённых ответах(ручками естественно при написании) он ищет вариант ответа - и потом подставляет вариант ответа в поле для проверки и проходит этот уровень=)
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 15:50:31.726666
|
|
|
postal134
Сообщений: 1006
Оценки: 25
Присоединился: 2008-03-16 11:55:15.150000
|
Интервал между вводом пасса- это вообще не вариант!
Программа просто будет подставлять другой proxy, а после 800- ого подойдёт время первого.
зы: корова может довать мясо :D
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 15:55:00.260000
|
|
|
wilderwind
Сообщений: 269
Оценки: 0
Присоединился: 2006-05-28 13:41:45
|
quote:
ORIGINAL: xxx
quote:
Боту не нужно будет брутить капчу. он просто будет её проходить. считывая вопрос и подставляя ответ. Разумеется на ступении написания бота - придётся просмотреть все вопросы и внести их в массив к которому бот будет обращаться.
в заранее занесённых ответах(ручками естественно при написании)
Да, возможно. Ну ты и мазохист :D А вдруг возможных вариантов не 1000, а 10 миллиардов?! Надо будет посадить всех китайцев за брут капчи )))) При их знании русского языка…
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 15:57:36.183333
|
|
|
wilderwind
Сообщений: 269
Оценки: 0
Присоединился: 2006-05-28 13:41:45
|
quote:
ORIGINAL: postal134
Интервал между вводом пасса- это вообще не вариант!
Программа просто будет подставлять другой proxy, а после 800- ого подойдёт время первого.
зы: корова может довать мясо :D
Про мясо улыбнуло )))) А вот прокся не спасёт, так как "попытка ввода и в Африке попытка ввода, с каких бы адресов она ни проводилась". Кто-то откуда-то постучался в асю - факт попытки налицо. И кто это был - абсолютно не важно.
СМЫСЛ в том, чтобы сделать брут нецелесообразным, а DoS - невозможным…
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 16:00:03.716666
|
|
|
postal134
Сообщений: 1006
Оценки: 25
Присоединился: 2008-03-16 11:55:15.150000
|
quote:
ORIGINAL: wilderwind
quote:
ORIGINAL: postal134
Интервал между вводом пасса- это вообще не вариант!
Программа просто будет подставлять другой proxy, а после 800- ого подойдёт время первого.
зы: корова может довать мясо :D
Про мясо улыбнуло )))) А вот прокся не спасёт, так как "попытка ввода и в Африке попытка ввода, с каких бы адресов она ни проводилась". Кто-то откуда-то постучался в асю - факт попытки налицо. И кто это был - абсолютно не важно.
СМЫСЛ в том, чтобы сделать брут нецелесообразным, а DoS - невозможным…
Это конкретно для какого-нибудь сайта или вообще?
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 16:13:09.750000
|
|
|
wilderwind
Сообщений: 269
Оценки: 0
Присоединился: 2006-05-28 13:41:45
|
СМЫСЛ в том, чтобы сделать брут нецелесообразным, а DoS - невозможным…
quote:
Это конкретно для какого-нибудь сайта или вообще?
В идеале, конечно, вообще, но сейчас рассматривается на примере аськи. Согласен, что полной защиты от DoS'а вряд ли можно добиться, а вот от брута вполне. Той же графикой или вообще звуковой капчей )))
Нужно простое для пользователя и в то же время невозможное для взлома решение. Интервал между вводами многосимвольного пароля + крутая капча, как мне кажется, наиболее действенный, простой в реализации и использовании метод на данный момент.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 16:38:05.026666
|
|
|
crushdump
Сообщений: 658
Оценки: 0
Присоединился: 2008-07-17 22:09:21.083333
|
quote:
В идеале, конечно, вообще, но сейчас рассматривается на примере аськи
Тебе что плохо, у меня лично аську брутом некогда не уведут.
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 20:18:51.596666
|
|
|
xxx
Сообщений: 639
Оценки: 0
Присоединился: 2004-04-12 14:58:57
|
quote:
ORIGINAL: wilderwind
quote:
ORIGINAL: xxx
Боту не нужно будет брутить капчу. он просто будет её проходить. считывая вопрос и подставляя ответ. Разумеется на ступении написания бота - придётся просмотреть все вопросы и внести их в массив к которому бот будет обращаться.
в заранее занесённых ответах(ручками естественно при написании)
Да, возможно. Ну ты и мазохист :D А вдруг возможных вариантов не 1000, а 10 миллиардов?! Надо будет посадить всех китайцев за брут капчи )))) При их знании русского языка…
Мазохист скорей не я=) А ты)) Ведь тебье придётся написать все эти варианты первому - а мне лишь выдрать их. К тому же можно самообучающегося бота - сбрутил - правильно - записал в массив и запомнил на будкющее)
К тому же капча неайс получится) Большой массив данных - дольше обработка. Я не понимаю а чем тиебе картинка с рандомными буквацифрами не нравится?:)
|
|
|
|
|
RE: Методы кражи паролей и противодействие этим методам - 2008-09-26 20:49:58.436666
|
|
|
undefucker^_^
Сообщений: 232
Оценки: 0
Присоединился: 2008-07-21 20:35:44.686666
|
quote:
у меня лично аську брутом некогда не уведут.
не зарекайся
|
|
|
|
|
|
