সেরা বিতরণকারী ব্রুট ফোর্স কাউন্টারমেজার কি?

প্রথমত, একটি সামান্য ব্যাকগ্রাউন্ড: এটি কোড গোপন নয় যে আমি কোডইগনিটারের জন্য একটি লেখিকা + লেখক সিস্টেম বাস্তবায়ন করছি এবং এখনও অবধি আমি জিতেছি (তাই কথা বলতে)। তবে আমি একটি চমত্কার অ-তুচ্ছ চ্যালেঞ্জের মুখোমুখি হয়েছি (বেশিরভাগ লেখক গ্রন্থাগারগুলি পুরোপুরি মিস করে তবে আমি এটি সঠিকভাবে পরিচালনা করার জন্য জোর দিয়েছি): কীভাবে বৃহত্তর, বিতরণযোগ্য, ভেরিয়েবল-ব্যবহারকারীর নাম ব্রুট-ফোর্স আক্রমণগুলির সাথে বুদ্ধিমানতার সাথে মোকাবেলা করতে হবে ।

আমি সব স্বাভাবিক কৌশল জানি:

1. আইপি / হোস্ট প্রতি ব্যর্থ প্রচেষ্টা # সীমাবদ্ধ করা এবং অপরাধীদের অ্যাক্সেস অস্বীকার করা (উদাহরণস্বরূপ Fail2Ban) - যা বোটনেটগুলি স্মার্ট হয়ে উঠার পরে আর কাজ করে না
2. উপরের সাথে পরিচিত 'খারাপ' আইপি / হোস্টগুলির ব্ল্যাকলিস্টের সাথে মিশ্রন করা (যেমন ড্যানিহোস্টস) - যা # 1 এর জন্য বোটনেটগুলির উপর নির্ভর করে যা তারা ক্রমবর্ধমান করে না
3. আইপি / হোস্ট শ্বেত তালিকাটি traditionalতিহ্যগত লেখার সাথে মিলিত হয়েছে (গতিশীল আইপি ব্যবহারকারীদের সাথে দু: খজনকভাবে বেহুদা এবং বেশিরভাগ ওয়েব সাইটে উচ্চ মন্থর)
4. একটি এন মিনিট / ঘন্টা সময়কালের মধ্যে # ব্যর্থ প্রয়াসের # তে সাইটব্যাপী সীমা নির্ধারণ করা এবং এর পরে বেশ কয়েকটি মিনিট / ঘন্টা ধরে সমস্ত স্তরের লগইন প্রচেষ্টা (স্থগিত করা) (ডস আপনাকে আক্রমণ করে যে সমস্যাটি বোটনেট বাচ্চার খেলায় পরিণত হয়)
5. বাধ্যতামূলক ডিজিটাল স্বাক্ষর (পাবলিক-কী শংসাপত্র) বা কোনও লগইন / পাসওয়ার্ড বিকল্পের সাথে ব্যবহারকারীর জন্য আরএসএ হার্ডওয়্যার টোকেন (প্রশ্ন ছাড়াই কোনও শিলা-সমাধান সমাধান নয়, তবে কেবল বন্ধ, উত্সর্গীকৃত পরিষেবার জন্য ব্যবহারিক)
6. প্রয়োগ অতি শক্তিশালী পাসওয়ার্ড স্কিম (যেমন> চিহ্ন দিয়ে 25 আজেবাজে কথা অক্ষর - আবার, খুব নৈমিত্তিক ব্যবহারকারীদের জন্য অকার্যকর)
7. এবং পরিশেষে, ক্যাপচা (যা বেশিরভাগ ক্ষেত্রে কাজ করতে পারে তবে ব্যবহারকারীদের জন্য বিরক্তিকর এবং একটি দৃ , ়প্রতিজ্ঞ , আক্রমণকারী আক্রমণকারীর বিরুদ্ধে কার্যত অকেজো )

এখন, এগুলি কেবল তাত্ত্বিকভাবে কার্যক্ষম ধারণা। আছে প্রচুর আবর্জনা ধারনা (তুচ্ছ DoS আক্রমন করার উদাঃ) খোলা সাইটে গাট্টা করুন। আমি যা চাই তা আরও ভাল কিছু। এবং আরও ভাল, আমি বলতে চাই:

• এটি ডওস এবং ব্রুট-ফোর্স আক্রমণগুলির বিরুদ্ধে সুরক্ষিত থাকতে হবে (+) এবং এমন কোনও নতুন দুর্বলতা প্রবর্তন করতে হবে না যা সামান্য ছিনতাইকারী বটকে রাডারটির নীচে চলতে থাকবে allow

• এটি স্বয়ংক্রিয় করতে হবে। যদি প্রতিটি লগইন যাচাই করতে বা সন্দেহজনক ক্রিয়াকলাপটি নিরীক্ষণের জন্য যদি কোনও মানব অপারেটরের প্রয়োজন হয়, তবে এটি বাস্তব-জগতের দৃশ্যে কাজ করবে না

• এটি মূলধারার ওয়েব ব্যবহারের জন্য সম্ভব (যেমন উচ্চ মন্থন, উচ্চ ভলিউম এবং নন-প্রোগ্রামাররা সম্পাদন করতে পারে এমন উন্মুক্ত নিবন্ধ)

• এটি ব্যবহারকারীর অভিজ্ঞতাটিকে এমন পর্যায়ে বাধা দিতে পারে না যেখানে নৈমিত্তিক ব্যবহারকারীরা বিরক্ত বা হতাশ হয়ে পড়বেন (এবং সম্ভবত সাইটটি ত্যাগ করুন)

• এটি বিড়ালছানাগুলিকে জড়িত করতে পারে না, যদি না তারা সত্যই নিরাপদ বিড়ালছানা হয়

(+) 'সুরক্ষিত' দ্বারা, আমি বলতে চাইছি কমপক্ষে কোনও ব্যবহারকারীর তার পাসওয়ার্ডটি গোপন রাখার ক্ষমতা হিসাবে কমপক্ষে সুরক্ষিত

তো - আসুন শুনি! আপনি এটি কিভাবে করবেন ? আপনি কি এমন সেরা অনুশীলনের কথা জানেন যা আমি উল্লেখ করি নি (ওহ দয়া করে বলুন যে আপনি করেন)? আমি স্বীকার করি আমার নিজস্ব ধারণা আছে (3 এবং 4 এর ধারণাগুলির সংমিশ্রণ), তবে আমি নিজেকে বিব্রত করার আগে সত্য বিশেষজ্ঞদের কথা বলতে দেব ;-)

ঠিক আছে, পর্যাপ্ত স্টলিং; আমি এখন পর্যন্ত যা নিয়ে এসেছি তা এখানে

(দুঃখিত, দীর্ঘ পোস্ট এগিয়ে। সাহসী হন, বন্ধু, যাত্রা এটি মূল্যবান হবে)

মূল পোস্ট থেকে 3 এবং 4 পদ্ধতিগুলিকে এক ধরণের 'ফাজি' বা গতিশীল শ্বেত তালিকাতে মিশ্রণ করা এবং তারপরে - এবং কৌশলটি এখানে রয়েছে - নন-হোয়াইটলিস্টযুক্ত আইপিগুলিকে অবরুদ্ধ করে না, কেবল তাদেরকে নরকে ও পিছনে নিয়ে যাওয়া ।

মনে রাখবেন যে এই পরিমাপটি কেবলমাত্র এই খুব নির্দিষ্ট ধরণের আক্রমণকে ব্যর্থ করার জন্য। অনুশীলনে, অবশ্যই, এটি প্রমাণের অন্যান্য সেরা-অনুশীলনের পদ্ধতির সাথে মিশ্রণে কাজ করবে: স্থির-ব্যবহারকারীর নাম থ্রোটলিং, প্রতি-আইপি থ্রোটলিং, কোড-এনফোর্সড শক্তিশালী পাসওয়ার্ড নীতি, অক্ষরযুক্ত কুকি লগইন, সংরক্ষণের আগে সমস্ত পাসওয়ার্ডের সমতুল্য হ্যাশিং সুরক্ষা প্রশ্ন ইত্যাদি ব্যবহার করা

আক্রমণ পরিস্থিতি সম্পর্কে অনুমান

যদি কোনও আক্রমণকারী চলক ব্যবহারকারীর নামগুলি লক্ষ্য করে থাকে তবে আমাদের ব্যবহারকারীর নাম থ্রোটলিং আগুন দেয় না। আক্রমণকারী যদি বোটনেট ব্যবহার করে বা একটি বৃহত আইপি পরিসরে অ্যাক্সেস পেয়ে থাকে তবে আমাদের আইপি থ্রোটলিং শক্তিহীন। যদি আক্রমণকারী আমাদের ব্যবহারকারী তালিকাটি প্রাক-স্ক্র্যাপ করে থাকে (সাধারণত ওপেন-নিবন্ধকরণ ওয়েব পরিষেবাদিতে সম্ভব) তবে আমরা 'ব্যবহারকারীর সন্ধান পেল না' ত্রুটির সংখ্যার ভিত্তিতে চলমান আক্রমণ সনাক্ত করতে পারি না। এবং যদি আমরা থ্রোটলিংকে একটি সীমাবদ্ধ সিস্টেম-ব্যাপী (সমস্ত ব্যবহারকারীর নাম, সমস্ত আইপি) প্রয়োগ করি, তবে এই জাতীয় কোনও আক্রমণ আক্রমণটির সময়কাল এবং থ্রোটলিংয়ের সময়কালের জন্য আমাদের পুরো সাইটটিকে ডস করবে।

সুতরাং আমাদের অন্য কিছু করা দরকার।

পাল্টা মিটারের প্রথম অংশ: শ্বেত তালিকাভুক্ত

আমরা যে বিষয়ে মোটামুটি নিশ্চিত হতে পারি, তা হ'ল আক্রমণকারী আমাদের কয়েক হাজার ব্যবহারকারীর (+) আইপি ঠিকানাগুলি সনাক্ত করতে এবং গতিশীলভাবে ছদ্মবেশী করতে সক্ষম নন। যা হোয়াইটলিস্টিংকে সম্ভবপর করে তোলে । অন্য কথায়: প্রতিটি ব্যবহারকারীর জন্য, আমরা (হ্যাশড) আইপিগুলির একটি তালিকা সংরক্ষণ করি যেখানে ব্যবহারকারী আগে (সম্প্রতি) লগইন করেছেন।

সুতরাং, আমাদের শ্বেত তালিকাটি একটি লক করা 'সামনের দরজা' হিসাবে কাজ করবে, যেখানে কোনও ব্যবহারকারীকে লগইন করার জন্য অবশ্যই তার স্বীকৃত 'ভাল' আইপিগুলির মধ্যে একটি থেকে সংযুক্ত থাকতে হবে। এই 'সামনের দরজায়' একটি বর্বরোচিত আক্রমণ কার্যত অসম্ভব (+) হবে।

(+) আক্রমণকারী সার্ভার, আমাদের সমস্ত ব্যবহারকারীর বাক্স, বা সংযোগ নিজেই যদি 'মালিকানা' না দেয় - এবং এই ক্ষেত্রে আমাদের আর 'প্রমাণীকরণ' সমস্যা নেই, আমাদের কাছে একটি আসল ভোটাধিকারের আকারের টান নেই প্লাগ FUBAR পরিস্থিতি

পাল্টা মাপের দ্বিতীয় অংশ: অজানা আইপিগুলির সিস্টেম-ব্যাপী থ্রোল্টলিং

একটি ওপেন-রেজিস্ট্রেশন ওয়েব সার্ভিসের জন্য একটি শ্বেত তালিকা তৈরি করার জন্য, যেখানে ব্যবহারকারীরা ঘন ঘন কম্পিউটারগুলি স্যুইচ করে এবং / অথবা ডায়নামিক আইপি অ্যাড্রেসগুলি থেকে সংযুক্ত হন, অবিজ্ঞাত আইপি থেকে সংযুক্ত ব্যবহারকারীদের জন্য আমাদের একটি 'বিড়াল দরজা' খোলা রাখতে হবে। কৌশলটি সেই দরজাটি ডিজাইন করা যাতে বোটনেট আটকে যায় এবং তাই বৈধ ব্যবহারকারীরা যতটা সম্ভব সামান্য বিরক্ত হন ।

আমার পরিকল্পনা, এই একটি সেটিং করে এটা করা যায় খুব বেশি অননুমোদিত আইপিগুলি দ্বারা ব্যর্থ লগইন করার প্রচেষ্টা নিয়ন্ত্রণমূলক সর্বোচ্চ সংখ্যক বলে, একটি 3 ঘণ্টার কাল, (এটা সেবা ধরনের উপর নির্ভর করে একটি সংক্ষিপ্ত বা আর সময়ের ব্যবহার করতে তিমিরে হতে পারে) এবং যে নিষেধাজ্ঞাকে বিশ্বব্যাপী তৈরি করে । সমস্ত ব্যবহারকারীর অ্যাকাউন্টের জন্য।

এমনকি এই পদ্ধতিটি ব্যবহার করে দ্রুত এবং কার্যকরভাবে একটি ধীর (প্রয়াসগুলির মধ্যে 1-2 মিনিট) ব্রুট ফোর্স সনাক্ত করা হবে এবং ব্যর্থ করা হবে। অবশ্যই, একটি সত্যই ধীর ব্রুটি ফোর্স এখনও অবহেলিত থাকতে পারে, তবে খুব ধীর গতিতে ব্রুট ফোর্স আক্রমণের খুব উদ্দেশ্যকে পরাস্ত করে।

এই থ্রটলিং মেকানিজমটি দিয়ে আমি কী অর্জন করার আশাবাদী তা হ'ল সর্বাধিক সীমাটি পৌঁছে গেলে আমাদের 'বিড়াল দরজা' কিছুক্ষণের জন্য বন্ধ হয়ে যায়, তবে আমাদের সামনের দরজাটি বৈধ ব্যবহারকারীদের জন্য সাধারণ উপায়ে সংযুক্ত রয়েছে:

• হয় তাদের কোনও স্বীকৃত আইপি থেকে সংযুক্ত হয়ে
• অথবা অবিচ্ছিন্ন লগইন কুকি ব্যবহার করে (যে কোনও জায়গা থেকে)

আক্রমণের সময় প্রভাবিত হবে এমন একমাত্র বৈধ ব্যবহারকারী - যেমন। থ্রোটলিং সক্রিয় হওয়ার সময় - এমন ব্যবহারকারীরা ছিলেন যাঁরা অজানা অবস্থান থেকে বা ডায়নামিক আইপি দিয়ে লগইন করেছিলেন অবিচ্ছিন্ন লগইন কুকিজ ছাড়াই। এই ব্যবহারকারীরা থ্রোল্টলিং না হওয়া পর্যন্ত লগইন করতে পারবেন না (আক্রমণকারী যদি থ্রোটলিংয়ের পরেও যদি তার বোটনেট চালিয়ে রাখে তবে সম্ভবত এটি কিছুটা সময় নিতে পারে)।

ব্যবহারকারীদের এই ক্ষুদ্র উপসেটটি অন্যথায় সিল করা বিড়াল দরজা দিয়ে চেপে ধরার অনুমতি দেওয়ার জন্য, যদিও বটগুলি এখনও এটির হাতুড়ে ছিল, আমি একটি ক্যাপচায় একটি 'ব্যাকআপ' লগইন ফর্মটি নিযুক্ত করব। সুতরাং, যখন আপনি "দুঃখিত, তবে আপনি এই মুহুর্তে এই আইপি ঠিকানাটি থেকে লগইন করতে পারবেন না" বার্তাটি প্রকাশ করেন, এমন একটি লিঙ্ক অন্তর্ভুক্ত করুন যা " সুরক্ষিত ব্যাকআপ লগইন - কেবলমাত্র হিউম্যানস ( বটস: মিথ্যা নয় ) " বলে থাকে। রসিকতা সরান, যখন তারা সেই লিঙ্কটি ক্লিক করেন, তাদের সাইট-ওয়াইড থ্রোটলিংকে বাইপাস করে এমন একটি পুনর্বিবেচনা-প্রমাণীকরণযুক্ত লগইন ফর্ম দিন। এইভাবে, যদি তারা মানব হয় এবং সঠিক লগইন + পাসওয়ার্ড জানতে পারে (এবং ক্যাপচা পড়তে সক্ষম হয়) তবে তারা কখনও পরিষেবা অস্বীকার করবে না , এমনকি যদি তারা অজানা হোস্টের সাথে সংযোগ স্থাপন করে এবং অটোলজিন কুকি ব্যবহার না করে।

ওহ, এবং কেবল স্পষ্ট করে বলার জন্য: যেহেতু আমি ক্যাপচাগুলিকে সাধারণভাবে মন্দ বলে বিবেচনা করি তাই থ্রোটলিং সক্রিয় থাকাকালীন 'ব্যাকআপ' লগইন বিকল্পটি কেবল তখনই উপস্থিত হত ।

অস্বীকার করার উপায় নেই যে এর মতো একটি টেকসই আক্রমণ এখনও ডস আক্রমণের একটি রূপ গঠন করবে, তবে বর্ণিত সিস্টেমের জায়গায় এটি কেবল প্রভাবিত করবে যা আমি ব্যবহারকারীদের ক্ষুদ্র উপসেট হিসাবে সন্দেহ করি, যেমন লোকেরা ব্যবহার করে না "আমাকে মনে রাখুন" কুকি এবং আক্রমণ হওয়ার সময় লগ ইন করার ঘটনা ঘটে এবং তাদের কোনও সাধারণ আইপি থেকে লগ ইন করে না এবং যারা ক্যাপচা পড়তে পারে না। কেবলমাত্র যারা এই সমস্ত মানদণ্ডকেই না বলতে পারেন - বিশেষত বট এবং সত্যই দুর্ভাগ্য প্রতিবন্ধী - তাদের বট আক্রমণের সময় ফিরিয়ে দেওয়া হবে।

সম্পাদনা: বাস্তবে, আমি ক্যাপচা-চ্যালেঞ্জপ্রাপ্ত ব্যবহারকারীদের একটি 'লকডাউন' চলাকালীন সময় দেওয়ার উপায়ের কথা ভেবেছিলাম : ব্যাকআপ ক্যাপচ্যা লগইনের পরিবর্তে বা তার পরিপূরক হিসাবে ব্যবহারকারীকে একক ব্যবহারের বিকল্প সরবরাহ করতে পারে , ব্যবহারকারী-নির্দিষ্ট লকডাউন কোডটি তার ইমেলটিতে প্রেরণ করা হয়েছে, যা তিনি থ্রোটলিংকে বাইপাস করতে ব্যবহার করতে পারেন। এটি অবশ্যই আমার 'বিরক্তি' থ্রেশহোল্ডকে অতিক্রম করবে, তবে এটি কেবলমাত্র ব্যবহারকারীদের ক্ষুদ্র উপসেটের জন্য সর্বশেষ অবলম্বন হিসাবে ব্যবহৃত হয়েছে এবং এটি এখনও আপনার অ্যাকাউন্ট থেকে লক হয়ে যাওয়ার কারণে এটি গ্রহণযোগ্য হবে।

(এছাড়াও, মনে রাখবেন কেউই এই কিছু ঘটে তাহলে আক্রমণ কদর্য বিতরণ সংস্করণ আমি এখানে বর্ণনা করেছি তুলনায় কোন কম অত্যাধুনিক হয়। হামলার মাত্র কয়েক আইপিগুলি থেকে আসছে বা মাত্র কয়েক ব্যবহারকারীর নাম আঘাত, এটা অনেক আগেই খর্ব করা হবে না , এবং কোনও সাইট-ব্যাপী ফলাফল সহ)

সুতরাং, আমি আমার প্রমাণ গ্রন্থাগারে এটাই পাল্টা ব্যবস্থা প্রয়োগ করব, একবার যদি আমি নিশ্চিত হয়ে যাই যে এটির শব্দটি খুব ভাল সমাধান না হয়ে গেছে যে আমি মিস করেছি। সত্যটি হ'ল, সুরক্ষায় কিছু ভুল করার অনেক সূক্ষ্ম উপায় রয়েছে এবং আমি মিথ্যা অনুমান বা আশাহীন ত্রুটিযুক্ত যুক্তি তৈরি করার aboveর্ধ্বে নই। সুতরাং দয়া করে, যে কোনও এবং সমস্ত প্রতিক্রিয়া, সমালোচনা এবং উন্নতি, সূক্ষ্মতা ইত্যাদি অত্যন্ত প্রশংসা করা হয়।

কয়েকটি সহজ পদক্ষেপ:

নির্দিষ্ট কিছু সাধারণ ব্যবহারকারীর নাম ব্ল্যাকলিস্ট করুন এবং সেগুলি হানিপোট হিসাবে ব্যবহার করুন। প্রশাসক, অতিথি, ইত্যাদি ... এই নামগুলি দিয়ে কাউকে অ্যাকাউন্ট তৈরি করতে দেবেন না, তাই যদি কেউ আপনাকে লগ ইন করার চেষ্টা করে তবে জানতে পারেন যে সে এমন কিছু করছে যা তাদের করা উচিত নয়।

নিশ্চিত হয়ে নিন যে সাইটে যার যার আসল ক্ষমতা রয়েছে তার একটি সুরক্ষিত পাসওয়ার্ড রয়েছে। অক্ষর, সংখ্যা এবং চিহ্নগুলির মিশ্রণ সহ দীর্ঘতর পাসওয়ার্ডের জন্য প্রশাসকদের / মডারেটরের প্রয়োজন Requ একটি ব্যাখ্যা সহ নিয়মিত ব্যবহারকারীদের থেকে তুচ্ছ সহজ পাসওয়ার্ড প্রত্যাখ্যান করুন।

আপনি করতে পারেন এমন সহজ কাজগুলির মধ্যে একটি হ'ল লোকেরা যখন তাদের অ্যাকাউন্টে লগ ইন করার চেষ্টা করেছিল এবং তাদের ঘটনাটি যদি তা না হয় তবে রিপোর্ট করার জন্য একটি লিঙ্ক দিন। একটি সহজ বার্তা যখন তারা লগ ইন করে যেমন "বুধবার সকাল ১০:২০ মিনিটে আপনার অ্যাকাউন্টে লগ ইন করার চেষ্টা করা হয়েছে বেলা ব্লাহ। এটি আপনি না হলে এখানে ক্লিক করুন।" এটি আপনাকে আক্রমণ সম্পর্কিত কিছু পরিসংখ্যান রাখতে দেয়। আপনি যদি দেখেন যে প্রতারণামূলক অ্যাক্সেসগুলিতে হঠাৎ করে বৃদ্ধি পেয়েছে তবে আপনি নজরদারি এবং সুরক্ষা ব্যবস্থা গ্রহণ করতে পারেন।

যদি আমি বর্বর বাহিনীর আক্রমণগুলির এমও বুঝতে পারি তবে সঠিকভাবে এক বা একাধিক ব্যবহারকারীর নাম চেষ্টা করা হয়।

দুটি পরামর্শ রয়েছে যা আমি এখনও এখানে দেখেছি বলে মনে করি না:

• আমি সর্বদা ভাবতাম যে প্রতিটি ব্যবহারকারীর জন্য প্রতিটি ভুল লগইনের পরে স্ট্যান্ডার্ড অনুশীলনটি একটি সংক্ষিপ্ত বিলম্ব (এক সেকেন্ড বা তাই) করা উচিত। এটি নিষ্ঠুরতা থেকে বিরত থাকে, তবে আমি জানি না যে দ্বিতীয় সেকেন্ডের বিলম্ব কীভাবে অভিধানের আক্রমণকে বিরত রাখবে। (10,000 শব্দগুলির অভিধান == 10,000 সেকেন্ড == প্রায় 3 ঘন্টা H হুম mm যথেষ্ট ভাল নয় Not)
• কোনও সাইট-প্রশস্তের পরিবর্তে ধীর হয়ে যাওয়া, কোনও ব্যবহারকারী-নাম থ্রোটল কেন নয়। থ্রোটল প্রতিটি ভুল প্রচেষ্টা দিয়ে ক্রমশ কঠোর হয়ে ওঠে (এক সীমা পর্যন্ত, আমি অনুমান করি যে প্রকৃত ব্যবহারকারী এখনও লগইন করতে পারেন)

সম্পাদনা : একটি ব্যবহারকারীর নাম থ্রোটলের মন্তব্যের প্রতিক্রিয়া: এটি আক্রমণকারীর উত্স বিবেচনা না করে একটি ব্যবহারকারীর নির্দিষ্ট থ্রোটল।

যদি ব্যবহারকারীর নামটি থ্রোটলড হয়, তবে একটি সমন্বিত ব্যবহারকারীর নাম আক্রমণ (মাল্টি আইপি, আইপি প্রতি একক অনুমান, একই ব্যবহারকারীর নাম) ধরা পড়ে। পৃথক ব্যবহারকারীর নামগুলি থ্রটল দ্বারা সুরক্ষিত থাকে, যদিও আক্রমনকারীরা সময়সীমা চলাকালীন অন্য ব্যবহারকারী / পাস চেষ্টা করতে পারে try

আক্রমণকারী দৃষ্টিকোণ থেকে, সময়সীমা চলাকালীন আপনি প্রথমবারের মতো 100 টি পাসওয়ার্ড অনুমান করতে পারবেন এবং প্রতি অ্যাকাউন্টে একটি ভুল পাসওয়ার্ড দ্রুত আবিষ্কার করতে পারবেন। আপনি একই সময়ের জন্য কেবলমাত্র 50 সেকেন্ড অনুমান করতে সক্ষম হতে পারেন।

ব্যবহারকারীর অ্যাকাউন্টের দৃষ্টিকোণ থেকে, অনুমানগুলি একাধিক উত্স থেকে আসা হলেও, পাসওয়ার্ড ভাঙতে একই গড় অনুমানের প্রয়োজন।

আক্রমণকারীদের পক্ষে, সর্বোত্তমভাবে, এটি একাউন্টের মতো 100 অ্যাকাউন্ট ভাঙার সমান প্রচেষ্টা হবে তবে আপনি যেহেতু সাইট বিস্তৃত ভিত্তিতে থ্রোটল করছেন না, আপনি থ্রোটলটি খুব দ্রুত র‌্যাম্প করতে পারেন।

অতিরিক্ত পরিশোধনসমূহ:

• একাধিক অ্যাকাউন্টের অনুমান করা আইপিগুলি সনাক্ত করুন - 408 অনুরোধের সময়সীমা শেষ
• একই অ্যাকাউন্টটি অনুমান করে এমন আইপিগুলি সনাক্ত করুন - 408 অনুমানের বৃহত (100 বলুন) এর পরে সময়সীমার অনুরোধ করুন।

ইউআই আইডিয়া (এই প্রসঙ্গে উপযুক্ত নাও হতে পারে), যা উপরেরটিকেও সংশোধন করতে পারে:

• আপনি যদি পাসওয়ার্ড সেটিংসের নিয়ন্ত্রণে থাকেন, তবে তাদের পাসওয়ার্ডটি কতটা শক্তিশালী তা ব্যবহারকারীকে দেখানো তাদের আরও ভাল একটি বেছে নিতে উত্সাহিত করে।
• আপনি যদি লগইন পৃষ্ঠার নিয়ন্ত্রণে থাকেন তবে একক ব্যবহারকারীর ব্যবহারের জন্য ছোট (10 বলুন) অনুমানের পরে, একটি ক্যাপচা অফার করুন।

প্রমাণীকরণের তিনটি কারণ রয়েছে:

1. একজন ব্যবহারকারী কিছু জানেন (যেমন, একটি পাসওয়ার্ড)
2. একজন ব্যবহারকারী রয়েছে কিছু (অর্থাত, একটি কী FOB)
3. একজন ব্যবহারকারী এমন কিছু (যেমন রেটিনা স্ক্যান)

সাধারণত, ওয়েবসাইটগুলি কেবল # 1 নীতি প্রয়োগ করে। এমনকি বেশিরভাগ ব্যাঙ্ক শুধুমাত্র নীতি প্রয়োগ করে। তারা পরিবর্তে দ্বি-গুণক প্রমাণীকরণের জন্য "কিছু অন্য কিছু জানেন" পদ্ধতির উপর নির্ভর করে। (আইই: একটি ব্যবহারকারী তাদের পাসওয়ার্ড এবং তাদের মায়ের প্রথম নাম জানে)) আপনি যদি সক্ষম হন তবে প্রমাণীকরণের দ্বিতীয় ফ্যাক্টারে যুক্ত করার উপায় খুব বেশি কঠিন নয়।

যদি আপনি প্রায় 256 টি বর্ণচিহ্নের অক্ষর তৈরি করতে পারেন তবে আপনি এটি 16 table 16 টেবিলের মধ্যে কাঠামো তৈরি করতে পারেন এবং তারপরে ব্যবহারকারীকে উদাহরণস্বরূপ, সেল এ -14-এর সারণীতে আপনাকে মান দিতে বলুন। যখন কোনও ব্যবহারকারী সাইন আপ করে বা তাদের পাসওয়ার্ড পরিবর্তন করে, তাদের টেবিলটি দিন এবং এটি মুদ্রণ করতে এবং সেভ করতে বলুন।

এই পদ্ধতির সাথে অসুবিধাটি হ'ল কোনও ব্যবহারকারী যখন তাদের পাসওয়ার্ড ভুলে যায়, তারা যেমন করে, আপনি কেবল "এই প্রশ্নের উত্তর দিন এবং একটি নতুন পাসওয়ার্ড দিন" এই স্ট্যান্ডার্ডটি সরবরাহ করতে পারবেন না, যেহেতু এটি ব্রুট-ফোর্সেরও ঝুঁকিপূর্ণ। এছাড়াও, আপনি এটিকে পুনরায় সেট করতে এবং তাদেরকে নতুন ইমেল করতে পারবেন না, কারণ তাদের ইমেলটিও আপস করা হতে পারে। (দেখুন: Makeuseof.com এবং তাদের চুরি হওয়া ডোমেন)

আরেকটি ধারণা (যার মধ্যে বিড়ালছানা জড়িত), এটি বিওএ যা সাইটকি কে বলে (আমি বিশ্বাস করি তারা নামটি ট্রেডমার্ক করেছে)। সংক্ষেপে, আপনার ব্যবহারকারীরা নিবন্ধভুক্ত করার সময় একটি চিত্র আপলোড করুন এবং যখন তারা লগইন করার চেষ্টা করবেন তখন তাদের 8 বা 15 (বা আরও বেশি) এলোমেলো চিত্রগুলির মধ্যে তাদের চিত্র বাছাই করতে বলুন। সুতরাং, যদি কোনও ব্যবহারকারী তাদের বিড়ালছানাটির একটি ছবি আপলোড করেন, তাত্ত্বিকভাবে কেবল তারা জানেন যে অন্য সমস্ত বিড়ালছানা (বা ফুল বা কিছু) এর মধ্যে কোন ছবিটি তাদের the এই পদ্ধতির একমাত্র আসল স্বচ্ছলতা হ'ল ম্যান-ইন-মধ্য-আক্রমণ-

আর একটি ধারণা (যদিও বিড়ালছানা নয়), হ'ল আইপিগুলি ব্যবহারকারীরা সিস্টেমটিতে অ্যাক্সেস করেন এবং তাদের যে কোনও ঠিকানা থেকে লগ ইন করার সময় তাদের অতিরিক্ত প্রমাণীকরণ (ক্যাপচা, একটি কিটি বাছাই, এই টেবিল থেকে একটি কী বাছাই করা) করা প্রয়োজন require আগে ছিল না। এছাড়াও, GMail এর অনুরূপ, ব্যবহারকারীরা সম্প্রতি কোথায় লগ ইন করেছেন তা দেখার অনুমতি দিন।

সম্পাদনা, নতুন ধারণা:

লগইন প্রয়াসগুলির বৈধতা দেওয়ার আরেকটি উপায় হ'ল ব্যবহারকারী আপনার লগইন পৃষ্ঠা থেকে এসেছে কিনা তা যাচাই করা। আপনি রেফারারদের চেক করতে পারবেন না, যেহেতু তারা সহজেই নকল হতে পারে। ব্যবহারকারীদের লগইন পৃষ্ঠাটি দেখার সময় আপনার কী দরকার তা হল_সেসিএস ভারে একটি কী সেট করা এবং তার লগইন তথ্য জমা দেওয়ার পরে কীটি উপস্থিত রয়েছে তা নিশ্চিত করে পরীক্ষা করে দেখুন। লগইন পৃষ্ঠা থেকে বট জমা না দিলে এটি লগইন করতে সক্ষম হবে না। প্রসেসটিতে জাভাস্ক্রিপ্ট জড়িত করে, কুকি সেট করতে ব্যবহার করে বা ফর্মটি লোড হওয়ার পরে কিছু তথ্য যুক্ত করেও আপনি এটি সহজ করতে পারেন। অথবা, আপনি ফর্মটি দুটি পৃথক সাবমিটে বিভক্ত করতে পারেন (অর্থাত্ ব্যবহারকারী তাদের ব্যবহারকারীর নাম, জমা দেয়, তারপরে একটি নতুন পৃষ্ঠায় তাদের পাসওয়ার্ড প্রবেশ করে আবার জমা দিন))

কী, এই ক্ষেত্রে, সবচেয়ে গুরুত্বপূর্ণ দিক। এগুলি উত্পন্ন করার একটি সাধারণ পদ্ধতি হ'ল ব্যবহারকারীর ডেটা, তাদের আইপি এবং এটি জমা দেওয়ার সময়টির কিছু সংমিশ্রণ।

আমি এর আগে একটি খুব অনুরূপ প্রশ্নের উত্তর দিয়েছিলাম আমি পিএইচপি- তে কীভাবে ব্যবহারকারীর লগইন প্রয়াসকে থ্রটল করতে পারি । আমি প্রস্তাবিত সমাধানটি এখানে পুনরায় বলব কারণ আমি বিশ্বাস করি যে আপনারা অনেকে এটিকে কিছু বাস্তব কোড দেখার জন্য তথ্যবহুল এবং দরকারী বলে মনে করেন। দয়া করে মনে রাখবেন যে আজকাল ক্যাপচা বাস্টারগুলিতে ক্রমবর্ধমান সঠিক অ্যালগরিদম ব্যবহারের কারণে ক্যাপচা ব্যবহার করা সেরা সমাধান হতে পারে না:

আপনি কেবলমাত্র একটি আইপি বা ব্যবহারকারীর নামতে থ্রোটলিং শৃঙ্খলাবদ্ধ করে ডস আক্রমণগুলি আটকাতে পারবেন না। হেল্প, আপনি এমনকি এই পদ্ধতিটি ব্যবহার করে দ্রুত-আগুনের লগইন প্রচেষ্টা আটকাতে পারবেন না।

কেন? কারণ আক্রমণটি আপনার থ্রটলিংয়ের প্রচেষ্টাটিকে অতিক্রম করার জন্য একাধিক আইপি এবং ব্যবহারকারীর অ্যাকাউন্টগুলিকে বিস্তৃত করতে পারে।

আমি অন্য কোথাও পোস্ট দেখেছি যে আদর্শভাবে আপনার পুরো সাইট জুড়ে সমস্ত ব্যর্থ লগইন প্রচেষ্টা ট্র্যাক করা এবং একটি টাইমস্ট্যাম্পের সাথে সংযুক্ত করা উচিত, সম্ভবত:

CREATE TABLE failed_logins(
    id INT(11) UNSIGNED NOT NULL AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(16) NOT NULL,
    ip_address INT(11) UNSIGNED NOT NULL,
    attempted DATETIME NOT NULL
) engine=InnoDB charset=UTF8;

নির্দিষ্ট সময়ের মধ্যে ব্যর্থ লগইনের সামগ্রিক সংখ্যার ভিত্তিতে নির্দিষ্ট বিলম্বের বিষয়ে সিদ্ধান্ত নিন । আপনার failed_loginsটেবিল থেকে টানা পরিসংখ্যানগত তথ্যের ভিত্তিতে এটি ভিত্তি করা উচিত কারণ এটি সময়ের সাথে সাথে ব্যবহারকারীর সংখ্যা এবং তাদের মধ্যে কতজন তাদের পাসওয়ার্ড পুনরায় কল করতে (এবং টাইপ করতে পারে) তার উপর নির্ভর করে)

10 failed attempts = 1 second
20 failed attempts = 2 seconds
30 failed attempts = reCaptcha

প্রতিটি ব্যর্থ লগইন প্রয়াসের জন্য নির্দিষ্ট সময়সীমার জন্য ব্যর্থ লগইনগুলির সংখ্যা সন্ধানের সারণীর প্রশ্নটি করুন, 15 মিনিট বলুন:

SELECT COUNT(1) AS failed FROM failed_logins WHERE attempted > DATE_SUB(NOW(), INTERVAL 15 minute);

প্রদত্ত সময়কালের জন্য প্রয়াসগুলির সংখ্যা যদি আপনার সীমা ছাড়িয়ে যায়, হয় থ্রোটলিং প্রয়োগ করুন বা প্রদত্ত সময়কালে ব্যর্থ প্রচেষ্টাগুলির সংখ্যা প্রান্তিকের চেয়ে কম না হওয়া পর্যন্ত সমস্ত ব্যবহারকারীকে ক্যাপচা (অর্থাত্ পুনঃপঞ্চ) ব্যবহার করতে বাধ্য করুন।

// array of throttling
$throttle = array(10 => 1, 20 => 2, 30 => 'recaptcha');

// assume query result of $sql is stored in $row
$sql = 'SELECT MAX(attempted) AS attempted FROM failed_logins';
$latest_attempt = (int) date('U', strtotime($row['attempted']));
// get the number of failed attempts
$sql = 'SELECT COUNT(1) AS failed FROM failed_logins WHERE attempted > DATE_SUB(NOW(), INTERVAL 15 minute)';
// assume the number of failed attempts was stored in $failed_attempts
krsort($throttle);
foreach ($throttle as $attempts => $delay) {
    if ($failed_attempts > $attempts) {
        // we need to throttle based on delay
        if (is_numeric($delay)) {
            $remaining_delay = time() - $latest_attempt - $delay;
            // output remaining delay
            echo 'You must wait ' . $remaining_delay . ' seconds before your next login attempt';
        } else {
            // code to display recaptcha on login form goes here
        }
        break;
    }
}

একটি নির্দিষ্ট দোরগোড়ায় পুনঃক্যাপচা ব্যবহার করা নিশ্চিত করে যে একাধিক ফ্রন্টের আক্রমণ কমিয়ে আনা হবে এবং সাধারণ সাইট ব্যবহারকারীরা বৈধ ব্যর্থ লগইন চেষ্টার জন্য উল্লেখযোগ্য বিলম্ব অনুভব করবেন না। আমি প্রতিরোধের গ্যারান্টি দিতে পারছি না, কারণ এটি ইতিমধ্যে প্রসারিত হয়ে গেছে যে ক্যাপচা বিস্ফোরিত হতে পারে। বিকল্প সমাধান রয়েছে, সম্ভবত "এই প্রাণীটির নাম দিন" এর একটি বৈকল্পিক, যা বিকল্প হিসাবে বেশ ভালভাবে কাজ করতে পারে।

আমাকে জিজ্ঞাসা করতে হবে যে আপনি এই সমস্যার ব্যয়-বেনিফিট বিশ্লেষণ করেছেন কিনা; মনে হচ্ছে আপনি কোনও আক্রমণকারীর হাত থেকে নিজেকে রক্ষা করার চেষ্টা করছেন যার কাছে প্রচুর পাসওয়ার্ড অনুমান করার মতো পর্যাপ্ত ওয়েব উপস্থিতি রয়েছে, সম্ভবত প্রতি আইপি 3-5 অনুরোধ প্রেরণ করছেন (যেহেতু আপনি আইপি থ্রোটলিং বাতিল করেছেন)। এই ধরণের আক্রমণটির জন্য কত দাম (মোটামুটি) লাগবে? আপনি যে অ্যাকাউন্টগুলিকে সুরক্ষিত করার চেষ্টা করছেন তার চেয়ে কি বেশি ব্যয়বহুল? আপনি কতটুকু বড়টান্টুয়ান বটনেটস পেয়েছেন তা চান?

উত্তরটি নাও হতে পারে - তবে এটি যদি হয় তবে আমি আশা করি আপনি কোনও প্রকার সুরক্ষা পেশাদারের কাছ থেকে সহায়তা পাচ্ছেন; প্রোগ্রামিং দক্ষতা (এবং স্ট্যাকওভারফ্লো স্কোর) সুরক্ষা জানার জন্য কীভাবে দৃ strongly়ভাবে সম্পর্কিত নয়।

সিউস রাষ্ট্রের রূপান্তর চিত্র / রুলবেসে জেনসের প্রকল্পের সংক্ষিপ্তসার হিসাবে:

1. ব্যবহারকারী + পাসওয়ার্ড -> এন্ট্রি
2. ব্যবহারকারী + পাসওয়ার্ড -> অস্বীকৃত
3. ব্যবহারকারী + পরিচিত_আইপি (ব্যবহারকারী) -> সামনের দরজা, // never throttle
4. ব্যবহারকারী + অজানা_আইপি (ব্যবহারকারী) -> ক্যাটফ্ল্যাপ
5. ক্যাটফ্ল্যাপস (সাইট) এর মাধ্যমে (# নামযুক্ত> এন) -> থ্রোটল ক্যাটফ্ল্যাপস (সাইট) // slow the bots
6. ক্যাটফ্ল্যাপ + থ্রোটল + পাসওয়ার্ড + ক্যাপচা -> এন্ট্রি // humans still welcome
7. ক্যাটফ্ল্যাপ + থ্রোটল + পাসওয়ার্ড +! ক্যাপচা -> অস্বীকার করা হয়েছে // a correct guess from a bot

পর্যবেক্ষণ:

• সামনের দরজাটি কখনই থ্রটল করবেন না। আপনার বাড়িতে ইলবোনিয়ার রাজ্য পুলিশের আপনার কম্পিউটার রয়েছে তবে আপনাকে জিজ্ঞাসাবাদ করতে অক্ষম। ব্রুট ফোর্স আপনার কম্পিউটার থেকে কার্যকর একটি পদ্ধতি।
• আপনি যদি একটি "আপনার পাসওয়ার্ড ভুলে যান?" লিঙ্ক, তারপরে আপনার ইমেল অ্যাকাউন্ট আক্রমণ পৃষ্ঠের অংশ হয়ে যায়।

এই পর্যবেক্ষণগুলি আপনি পাল্টানোর চেষ্টা করছেন তার কাছে বিভিন্ন ধরণের আক্রমণ coverেকে দেয়।

দেখে মনে হচ্ছে আপনি ধীর বিতরণকারী ব্রুটি ফোর্সের বিরুদ্ধে রক্ষা করার চেষ্টা করছেন । আপনি এটি সম্পর্কে অনেক কিছুই করতে পারেন না। আমরা একটি পিকেআই ব্যবহার করছি এবং কোনও পাসওয়ার্ড লগইন করছি না। এটি সহায়তা করে তবে আপনার ক্লায়েন্টরা যদি একবারে একবারে ওয়ার্কস্টেশনগুলি সুযোগ করে দেয় তবে এটি খুব বেশি প্রযোজ্য নয়।

দাবি অস্বীকার: আমি একটি দ্বি-গুণক সংস্থার জন্য কাজ করি, তবে এটি প্লাগ করতে এখানে নেই am এখানে কিছু পর্যবেক্ষণ।

কুকিজ এক্সএসএস এবং ব্রাউজার ভ্যাল্ন দিয়ে চুরি করা যায়। ব্যবহারকারীরা সাধারণত ব্রাউজারগুলি পরিবর্তন করে বা তাদের কুকিজ সাফ করে।

উত্স আইপি ঠিকানাগুলি একই সাথে গতিশীল পরিবর্তনশীল এবং স্পোফেবল।

ক্যাপচা দরকারী, তবে একটি নির্দিষ্ট মানবকে প্রমাণীকরণ করে না।

একাধিক পদ্ধতি সফলভাবে একত্রিত হতে পারে, তবে ভাল স্বাদ অবশ্যই ক্রমযুক্ত।

পাসওয়ার্ড জটিলতা ভাল, কোনও পাসওয়ার্ড-ভিত্তিক সমালোচকদের পর্যাপ্ত এনট্রপি থাকা পাসওয়ার্ডগুলির উপর নির্ভর করে। আইএমএইচও, সুরক্ষিত শারীরিক স্থানে লিখিত একটি শক্তিশালী পাসওয়ার্ড মেমরির দুর্বল পাসওয়ার্ডের চেয়ে ভাল। তিনটি ভিন্ন ওয়েবসাইটের পাসওয়ার্ড হিসাবে ব্যবহার করার সময় কীভাবে তাদের কুকুরের নামে কার্যকর এনট্রোপিকে কীভাবে চিত্রিত করা যায় তার চেয়ে বেশি কাগজপত্রের সুরক্ষার মূল্যায়ন কীভাবে করা যায় know ব্যবহারকারীদের এককালীন ব্যবহারের পাস কোড দিয়ে পূর্ণ একটি বড় বা ছোট পৃষ্ঠা মুদ্রণ করার ক্ষমতা প্রদান বিবেচনা করুন।

"আপনার উচ্চ-বিদ্যুতের মাসকোটটি কী ছিল" এর মতো সুরক্ষা প্রশ্নগুলি বেশিরভাগ ক্ষেত্রে "আপনার পরিচিত কিছু" এর আরও দুষ্টু রূপ, তাদের বেশিরভাগই পাবলিক ডোমেনে সহজেই অনুমেয় বা প্রকাশ্য।

যেমন আপনি উল্লেখ করেছেন, ব্যর্থ লগইন প্রচেষ্টা ব্যর্থ হ'ল ব্রুট-ফোর্স আক্রমণ প্রতিরোধ এবং একটি অ্যাকাউন্ট ডসিং সহজ করার মধ্যে একটি বাণিজ্য off আগ্রাসী লকআউট নীতিগুলি পাসওয়ার্ড এনট্রপির প্রতি আস্থার অভাব প্রতিফলিত করতে পারে।

আমি ব্যক্তিগতভাবে কোনও ওয়েবসাইটে পাসওয়ার্ডের মেয়াদোত্তীকরণ কার্যকর করার সুবিধাটি দেখতে পাচ্ছি না। আক্রমণকারী একবার আপনার পাসওয়ার্ড পেয়ে যায়, সে তখন এটি পরিবর্তন করতে পারে এবং আপনি যেভাবে সহজেই নীতিটি মেনে চলতে পারেন। সম্ভবত একটি সুবিধা হ'ল যদি আক্রমণকারী অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করে তবে ব্যবহারকারী শীঘ্রই লক্ষ্য করতে পারে। আরও ভাল হবে যদি আক্রমণকারীর অ্যাক্সেস পাওয়ার আগে ব্যবহারকারীকে কোনওভাবে অবহিত করা হয়। "সর্বশেষ লগইন হওয়ার পরে এন ব্যর্থ প্রচেষ্টা" এর মতো বার্তা এই ক্ষেত্রে কার্যকর।

সেরা সুরক্ষা প্রমাণীকরণের দ্বিতীয় ফ্যাক্টর থেকে আসে যা প্রথমটির তুলনায় বাইরে ব্যান্ড। যেমনটি আপনি বলেছিলেন, "আপনার কাছে থাকা" কিছুতে হার্ডওয়্যার টোকেন দুর্দান্ত তবে অনেকের (সমস্ত নয়) তাদের বিতরণের সাথে সম্পর্কিত অ্যাডমিন ওভারহেড রয়েছে। ওয়েবসাইটগুলির জন্য সমাধানগুলির ভাল কোনও বায়োমেট্রিক সম্পর্কে আমি জানি না solutions কিছু দ্বি-ফ্যাক্টর সমাধান ওপেনিড সরবরাহকারীদের সাথে কাজ করে, কারও কারও পিএইচপি / পার্ল / পাইথন এসডিকে রয়েছে।

আমার সর্বোচ্চ প্রস্তাবটি হ'ল এটি নিশ্চিত করা যে আপনি ব্যবহারকারীদের তাদের অ্যাকাউন্টগুলিতে খারাপ লগইন প্রচেষ্টা সম্পর্কে অবগত রেখেছেন - কেউ যদি তাদের অ্যাকাউন্টে প্রবেশের চেষ্টা করছে এমন প্রমাণ সহ যদি তারা উপস্থাপন করা হয় তবে ব্যবহারকারীরা তাদের পাসওয়ার্ডের শক্তি আরও বেশি গুরুত্ব সহকারে গ্রহণ করবেন ।

আমি আসলে এমন কাউকে ধরেছিলাম যা আমার ভাইয়ের মাইস্পেস অ্যাকাউন্টে হ্যাক করেছে কারণ তারা তার জন্য আমার যে জিমেইল অ্যাকাউন্টটি সেটআপ করেছিল সেটি পেতে চেষ্টা করেছিল এবং 'আমার পাসওয়ার্ডটি পুনরায় সেট করে' ইমেল দ্বারা ব্যবহার করে ... যা আমার ইনবক্সে গেছে।

1. তাদের সাধারণ পাসওয়ার্ড দেওয়ার আগে এক-সময়-পাসওয়ার্ডের কী প্রয়োজন? এটি খুব স্পষ্ট করে তুলবে যে কেউ মূল পাসওয়ার্ড অনুমান করার অনেক সুযোগ পাওয়ার আগেই কেউ আক্রমণ করেছিল?

2. লগইন ব্যর্থতার একটি বিশ্বব্যাপী গণনা / রেট রাখুন - এটি আক্রমণটির জন্য সূচক - আক্রমণটির সময় লগইন ব্যর্থতা সম্পর্কে কঠোর হতে হবে যেমন আইপিগুলিকে আরও দ্রুত নিষিদ্ধ করে।

আমি বিশ্বাস করি না এর একটি নিখুঁত উত্তর আছে তবে আমি আক্রমণে আক্রান্ত হলে রোবটগুলিকে বিভ্রান্ত করার চেষ্টা করার ভিত্তিতে আমি এটির কাছে যেতে আগ্রহী।

আমার মনের শীর্ষ বন্ধ:

বিকল্প লগইন স্ক্রিনে স্যুইচ করুন। এটিতে একাধিক ব্যবহারকারীর নাম এবং পাসওয়ার্ড ফাঁকা রয়েছে যা প্রকৃতপক্ষে উপস্থিত হয় তবে কেবলমাত্র একটির সঠিক জায়গায়। ক্ষেত্রের নামগুলি র‌্যান্ডম - একটি সেশন কী লগইন স্ক্রিনের সাথে প্রেরণ করা হয়, সার্ভারটি তখন ক্ষেত্রগুলি কী কী তা সন্ধান করতে পারে। সফল বা ব্যর্থ হলে এটি বাতিল হয়ে যায় যাতে আপনি পুনরায় খেলতে আক্রমণটি ব্যবহার করতে পারবেন না - আপনি যদি পাসওয়ার্ডটি প্রত্যাখ্যান করেন তবে তারা একটি নতুন সেশন আইডি পান get

কোনও ভুল ক্ষেত্রে ডেটা দিয়ে জমা দেওয়া যে কোনও ফর্ম রোবট থেকে ধরে নেওয়া হয় - লগইন ব্যর্থ হয়, পিরিয়ড হয় এবং সেই আইপি থ্রোটলড হয়। নিশ্চিত হয়ে নিন যে এলোমেলো ফিল্ডের নামগুলি কখনই লেজ ক্ষেত্রের নামগুলির সাথে মেলে না যাতে কেউ পাসওয়ার্ড মনে রাখে এমন কিছু ব্যবহার করে যাতে বিভ্রান্ত হয় না।

এরপরে, কীভাবে বিভিন্ন ধরণের ক্যাপচা সম্পর্কে: আপনার কাছে একাধিক প্রশ্ন রয়েছে যা কোনও মানুষের পক্ষে সমস্যা তৈরি করে না। তবে এগুলি এলোমেলো নয় । আক্রমণ শুরু হলে প্রত্যেককে প্রশ্ন # 1 দেওয়া হয়। এক ঘন্টা পরে প্রশ্ন # 1 বাতিল করা হয়, আর কখনও ব্যবহার করা হবে না এবং প্রত্যেকে # 2 এবং আরও প্রশ্ন পেয়ে যায়।

প্রশ্নগুলির নিষ্পত্তিযোগ্য প্রকৃতির কারণে আক্রমণকারী তার রোবটে রাখার জন্য ডাটাবেস ডাউনলোড করতে তদন্ত করতে পারে না। যে কোনও কিছু করার ক্ষমতা রাখার জন্য তাকে তার বোটনেটে নতুন নির্দেশনা প্রেরণ করতে হবে।

যেহেতু বেশিরভাগ লোকেরা ক্যাপচাটিকে ফ্যালব্যাক হিউম্যান মেকানিজম হিসাবে অন্তর্ভুক্ত করেছিল, তাই আমি ক্যাপচএএএচচএএর কার্যকারিতার উপর একটি স্ট্যাকওভারফ্লো প্রশ্ন এবং থ্রেড যুক্ত করছি।

রিক্যাপচায় ক্র্যাক / হ্যাক / ওসিআর / পরাজিত / ভেঙে গেছে?

ক্যাপচা ব্যবহার আপনার থ্রোলিং এবং অন্যান্য পরামর্শ থেকে উন্নতি সীমাবদ্ধ করে না, তবে আমি মনে করি যে ক্যাপচা ফ্যালব্যাক হিসাবে অন্তর্ভুক্ত রয়েছে এমন সংখ্যার উত্তরগুলি যে সুরক্ষা ভঙ্গ করতে খুঁজছেন তাদের জন্য উপলব্ধ মানব-ভিত্তিক পদ্ধতিগুলি বিবেচনা করা উচিত।

আপনি ব্যবহারকারীর পাসওয়ার্ডের শক্তির উপর ভিত্তি করে থ্রটল করতে পারেন।

যখন কোনও ব্যবহারকারী তাদের পাসওয়ার্ড নিবন্ধন করে বা পরিবর্তন করে আপনি তাদের পাসওয়ার্ডের জন্য শক্তি রেটিং গণনা করেন, 1 থেকে 10 এর মধ্যে বলুন।

"পাসওয়ার্ড" এর মতো কিছু 1 স্কোর করে যেখানে "c6eqapRepe7et * আউর @ সিএইচ" একটি 9 বা 10 স্কোর করতে পারে এবং থ্রোটলিংকে লাথি মারার জন্য যত বেশি স্কোর লাগবে তত বেশি।

এই প্রশ্নটি জিজ্ঞাসা করার সময় আমি প্রথম উত্তরটি শুনেছি বন্দরগুলি পরিবর্তন করা, তবে সে সম্পর্কে ভুলে গিয়ে আইপিভি 4 অক্ষম করুন। যদি আপনি কেবল আইপিভি 6 নেটওয়ার্কের ক্লায়েন্টদের অনুমতি দেন তবে আপনি আর সাধারণ নেটওয়ার্ক স্ক্যানিংয়ের জন্য আর প্রার্থনা করতে পারবেন না এবং আক্রমণকারীরা ডিএনএস লিকআপের অবলম্বন করবে। আপনার অ্যাপাচি (এএএএ) / সেন্ডমেল (এমএক্স-> এএএএ) / আপনি সবাইকে কী দিয়েছেন (এএএএ) হিসাবে একই ঠিকানায় চালাবেন না। আপনার অঞ্চলটি xferd করা যাবে না তা নিশ্চিত করুন, আপনি কি নিজের জোনটি কারও দ্বারা ডাউনলোড করার অনুমতি দিচ্ছেন?

যদি বটগুলি আপনার সার্ভারটিকে নতুন হোস্ট-নেম সেটআপ করে, আপনার হোস্টনামগুলিতে কেবল কিছু জিব্বারশিপ তৈরি করুন এবং আপনার ঠিকানা পরিবর্তন করুন। পুরানো নাম এবং এমনকি সেটআপ ** হ'ল পপ নামগুলি বট নেট এর সময়সীমা শেষ করার জন্য ছেড়ে যান।

** আপনার বিপরীত (পিটিআর) রেকর্ডগুলি পরীক্ষা করুন (ip6.arpa এর অধীনে) / / 4-তে যেগুলি রেকর্ড VS / 4s নেই সেগুলি শূন্যে ব্যবহার করতে পারে কিনা তা দেখুন। আইই সাধারণতঃ ip6.arpa একটি ঠিকানায় ~ 32 "" থাকে তবে শেষের কয়েকটি অনুপস্থিত চেষ্টা করে এমন নেটওয়ার্ক ব্লকগুলিকে বিলোপ করতে পারে যার ভিডিএস রেকর্ড করে না অন্যদের। আপনি যদি আরও এগিয়ে নেন তবে ঠিকানার জায়গার বড় অংশগুলি এড়ানো সম্ভব হবে।

সবচেয়ে খারাপ ক্ষেত্রে ব্যবহারকারীদের একটি আইপিভি 6 টানেল সেটআপ করতে হবে, এটি পছন্দ হয় না যে তাদের ভিপিএনিংয়ের মতো কোনও ডিএমজেডে যেতে হবে ... যদিও তারা ভাবছেন যে কেন এটি প্রথম বিকল্প নয়।

এছাড়াও কার্বেরোস দুর্দান্ত, তবে আইএমএইচও এলডিএপ ফুটে উঠেছে (এনআইএসপ্লাসের সাথে প্রযুক্তিগতভাবে কী ভুল? আমি পড়েছি যে সান সিদ্ধান্ত নিয়েছে যে ব্যবহারকারীরা এলডিএপি চান এবং এ কারণে তারা এনআইএস + বাদ দেন)। কার্বেরোস এলডিএপি বা এনআইএস ছাড়াই ঠিকঠাক কাজ করে, কেবল হোস্টের ভিত্তিতে হোস্টের ব্যবহারকারীদের পরিচালনা করতে হবে। কার্বেরোস ব্যবহার করা আপনাকে স্বয়ংক্রিয়ভাবে না, পিকেআই ব্যবহার করার সহজ সুযোগ দেয়।

এখানে বেশ দেরি হলেও আমি ভাবছিলাম, একটি হার্ড কেস ধরে ধরেছিলাম - আক্রমণকারী 10,000 টি সর্বাধিক জনপ্রিয় একটি তালিকা বলে বেছে নেওয়া প্রচুর র্যান্ডম আইপি, এলোমেলো ব্যবহারকারীর নাম এবং একটি এলোমেলো পাসওয়ার্ড ব্যবহার করে।

একটি জিনিস আপনি করতে পেরেছিলেন, বিশেষত যদি সিস্টেমটি আক্রমণে মনে হয় যে সিস্টেমে প্রচুর ভুল পাসওয়ার্ডের প্রচেষ্টা রয়েছে এবং বিশেষত যদি পাসওয়ার্ডটি কম এনট্রপি থাকে তবে আপনার পিতা-মাতার প্রথম নামগুলি কীসের মতো গৌণ প্রশ্ন জিজ্ঞাসা করা হয়, উদাহরণস্বরূপ । যদি কোনও আক্রমণকারী পাসওয়ার্ড 'পাসওয়ার্ড 1' ব্যবহার করে মিলিয়ন অ্যাকাউন্টগুলিতে হিট হয় তবে তাদের অনেক ভাল সুযোগ আসার সম্ভাবনা রয়েছে তবে নাম ঠিক রাখার ক্ষেত্রে তার প্রতিক্রিয়া নাটকীয়ভাবে সাফল্য হ্রাস করতে পারে।