fejléc
Gyakori kérdések Belépés Új kérdés Véletlen kérdés
Keresés
Kezdőoldal » Számítástechnika » Weblapkészítés » Hogy lehet védekezni a jelszóp...

Hogy lehet védekezni a jelszópróbálgatós támadás ellen?

Figyelt kérdés

Azon kívül hogy a felhasználókat erős jelszó használatára kötelezzük . Gondolom session-el felesleges trükközni mert a támadó úgysem menti le. A nagyobb weboldalak pl. facebook hogy oldják ezt meg ?

A válaszokat előre is köszönöm !


2016. dec. 30. 13:32
1 2 3
 21/29 anonim ***** válasza:

Tudom, hogy mi a CSRF, de igy legalabb a kerdezo is ra tud keresni jobban a dologra.

Viszont ennek a celja nem az, hogy a jelszo probalgatast megelozze, hanem hogy mas forrasbol ne tudj rapostolni egy iframmel vagy hasonlo modon a felhasznalo tudta nelkul.


Egy szotar alapu tamadashoz vagy brute-force-hoz semmi extra vedelmet ugy nem ad. Ugyanis magat a login fromot is ujra-ujra tudod tolteni es tudsz szerezni egy uj tokent a sajat sessionodbe.

Login vedelem szempontjabol nem sokat szamit ez a fajta tokenezes.

2017. jan. 2. 11:02
Hasznos számodra ez a válasz?
 22/29 A kérdező kommentje:

Ezzel a módszerrel azt lehet kiszűrni ,hogy ne ezer számra jöjjenek a próbálgatások , hanem csak ahogy a támadó be tudja tölteni . Mondjuk a token lehetne egy bonyolult javascript művelet amit viszonylag sokáig tart kiszámolnia a böngészőnek . Mondjuk faktorizációja két prímszám szorzatának :D . Ez megtetszett már csak meg kéne írni...

Ha jól értem tökéletes megoldás nincs , de lehet kombinálni a dolgokat.

2017. jan. 2. 16:28
 23/29 anonim ***** válasza:
Token akár egy 1 jegyű szám is lehet, hiszen akkor is csak 10% az esélye hogy eltalálja, ha pedig nem sikerül, akkor nyugodtan tiltható. :)
2017. jan. 3. 18:04
Hasznos számodra ez a válasz?
 24/29 anonim ***** válasza:
100%
#21 én úgy oldottam meg, hogy nem adok ki új tokent, míg az előző használatban van, az pedig rontásonként egyre többet váratja a usert, illetve már js oldalon is duplán hashelem a jelszót, így az is eléggé időigényes művelet, szintén a kliens oldalt terhelve. Egy felhasználó nem nagyon szokott másodpercenként 1-nél több utasítást kiadni, így azokat is tiltom. Plusz a tokenezés. Captchat-t még nem tervezek, pedig mindenki azt ajánlja, de személy szerint kimondhatatlanul gyűlölöm. :D
2017. jan. 3. 18:56
Hasznos számodra ez a válasz?
 25/29 anonim ***** válasza:

Ez se rossz módszer. Kérdés, hogy a váratást miként oldod meg.

(Amúgy a jelzsó többszörös hashelésről ajánlom: [link] Bár többet számít a "mivel", mint a hogyan.)

2017. jan. 4. 01:49
Hasznos számodra ez a válasz?
 26/29 anonim ***** válasza:
35%
#25 jelenleg sleep-el. Azon mondjuk gondolkodtam hogy nem-e akasztja meg a szervert, de eddig nem tapasztaltam ilyet.
2017. jan. 4. 09:46
Hasznos számodra ez a válasz?
 27/29 anonim ***** válasza:

De, az mondjuk pont azt csinalja.

Ez a megoldas annyira nem ajanlott, 1 szalat joforman "semmitevesre" foglal el.

Tobb kapcsolat eseten erosen problemas lehet.

2017. jan. 4. 11:39
Hasznos számodra ez a válasz?
 28/29 anonim ***** válasza:
#27 Na ezaz, hogy ezt kipróbáltam egy egymagos szerveren, de ugyanúgy elérhető volt. Mindenesetre kitalálok valami mást akkor. :)
2017. jan. 4. 12:41
Hasznos számodra ez a válasz?
 29/29 anonim ***** válasza:
Nem azt mondom, hogy nem fut, a proci megcsinalja a valtast a szalak kozott, de folosleges es eleg nagy plusz terhelest jelent.
2017. jan. 4. 14:37
Hasznos számodra ez a válasz?
1 2 3

Kapcsolódó kérdések:

Számítástechnika főkategória kérdései »
Számítástechnika - Weblapkészítés kategória kérdései »




Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!