Когда прямой и обратный брутфорс бессмысl

[imhoneer]

В данном посте хочу рассказать об одном своем решении относительно регистрации и методов защиты логина и пароля для входа.

Прямой брутфорс - это перебор паролей при постоянном имени.

Обратный брутфорс - это перебор имен при постоянном пароле.

Мы находимся на форуме о криптовалютах и когда возникает потребность создать такое решение, то оно позволит с одной стороны пользователям иметь простые пароли и в тоже время надежную защиту, ведь речь идет о деньгах.

Для регистрации пользователя на сайте мы используем только одно окно формы, где просим ввести электронную почту.

Такая облегченная регистрация повышает лояльность пользователя и не напрягает его регистрироваться у вас на сайте.

Как только будет введена почта, то на этот адрес отправляются регистрационные данные вида:

Логин генерируется в виде user_(6 случайных символов из 0-9 A-Z a-z), примерный вид user_123rTU (конечно проводиться поиск такого по базе данных на совпадения, если нет, то оставляем, если есть, то генерируем новый).

Пароль генерируется 6 случайных символов из 0-9 A-Z a-z. Пользователь у себя в кабинете, потом всегда сможет изменить пароль на свой.

PIN код генерируется примерно 4-5 цифр, комбинации одного знака (например 1111) не используются.

Все эти данные мы также хешируем и уже хеши помешаем в таблицу временных ников, если в течении суток, пользователь не воспользовался данными для входа, то они убираются.

Вход на сайт довольно прост, вводиться логин и пароль, если это введено правильно, то следующим шагом просится ввести PIN код, на его правильный ввод дается 3-5 попыток, если количество попыток исчерпано, то автоматически генерируются, новые данные для пользователя и высылаются ему на email.

Востановление регистрационных данных простое, пользователь должен указать свой email. Вне зависимости есть такой email или нет, пользователь получает сообщение, что если такой email существует, то ему отошлются туда текущие регистрационные данные.

Данный метод намного лучше и надежней, чем применение капчи и прочих фишек против взлома.

Хочу обратить внимание, что при брутфорсе хакер никак не сможет вычислить email пользователя при проведении атаки, в то время как другие сайты позволяют с легкостью использовать email пользователя, как логин.
 

[be.open]

Вход на сайт довольно прост, вводиться логин и пароль, если это введено правильно, то следующим шагом просится ввести PIN код, на его правильный ввод дается 3-5 попыток, если количество попыток исчерпано, то автоматически генерируются, новые данные для пользователя и высылаются ему на email.

Давайте посмотрим на текущее положение вещей, вводишь логин-пароль, браузер предлагает сохранить, допустим сохраняешь и далее входишь на сайт прозрачно, или через капчу. Для входа на биржу или подтверждения платежей в зависимости от настроек может потребоваться дополнительная аутентификация.
Это удобно, привычно и достаточно безопасно (при условии достаточно сложных паролей, и контроля над почтой и сотовым).

То, что предлагаете вы, для пользователя крайне дискомфортно, начнём с того, что я не хочу быть пользователем user_123rTU.
Отказ от права выбирать свой логин слишком большая жертва на алтарь безопасности!

[imhoneer]

Давайте посмотрим на текущее положение вещей, вводишь логин-пароль, браузер предлагает сохранить, допустим сохраняешь и далее входишь на сайт прозрачно, или через капчу. Для входа на биржу или подтверждения платежей в зависимости от настроек может потребоваться дополнительная аутентификация.
Это удобно, привычно и достаточно безопасно (при условии достаточно сложных паролей, и контроля над почтой и сотовым).

То, что предлагаете вы, для пользователя крайне дискомфортно, начнём с того, что я не хочу быть пользователем user_123rTU.
Отказ от права выбирать свой логин слишком большая жертва на алтарь безопасности!

Вот именно, достаточно сложных паролей и он вовсе не дает сильной защиты от взлома, т.к. капча не является противодействием брутфорсу.

Вы вводите логин user_123rTU только один раз при входе на сайт, а если там будет чат или ещё что где нужно ваше имя, то есть ник, который Вы сможете выбрать сами себе, что ещё больше повысит бесопасность, т.к. ник будет совершенно отличным от логина.

И ваши слова о том, что логин так важен, это более, чем странно, когда идет речь о безопасности ваших денег.

[xandry]

Если вы толкуете про наш форум, то лучше такое описывать на английском непосредственно в разделе "Meta"

[imhoneer]

Если вы толкуете про наш форум, то лучше такое описывать на английском непосредственно в разделе "Meta"

Нет это идея для всех, просто может человек будет делать сайт финансовой тематики и озаботиться безопасностью, то возможно эта моя идея ему подойдет, а если возникнут вопросы, то всегда готов на них ответить и помочь в реализации, т.к. эту идею я делал на своем сайте с использованием PHP.

[Tuareg]

Если вы толкуете про наш форум, то лучше такое описывать на английском непосредственно в разделе "Meta"

Нет это идея для всех, просто может человек будет делать сайт финансовой тематики и озаботиться безопасностью, то возможно эта моя идея ему подойдет, а если возникнут вопросы, то всегда готов на них ответить и помочь в реализации, т.к. эту идею я делал на своем сайте с использованием PHP.

интересная идея у вас, сейчас с ребятами ее проанализируем, возможно в ближайшее время появятся вопросы.

[imhoneer]

интересная идея у вас, сейчас с ребятами ее проанализируем, возможно в ближайшее время появятся вопросы.

Спрашивайте, всегда постараюсь ответить.