Bitcoin Forum
January 25, 2020, 10:28:48 AM *
News: Latest Bitcoin Core release: 0.19.0.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Когда прямой и обратный брутфорс бессмысl  (Read 463 times)
imhoneer
Hero Member
*****
Offline Offline

Activity: 994
Merit: 636



View Profile WWW
June 27, 2017, 07:33:56 AM
Merited by chimk (4)
 #1

В данном посте хочу рассказать об одном своем решении относительно регистрации и методов защиты логина и пароля для входа.

Прямой брутфорс - это перебор паролей при постоянном имени.

Обратный брутфорс - это перебор имен при постоянном пароле.

Мы находимся на форуме о криптовалютах и когда возникает потребность создать такое решение, то оно позволит с одной стороны пользователям иметь простые пароли и в тоже время надежную защиту, ведь речь идет о деньгах.

Для регистрации пользователя на сайте мы используем только одно окно формы, где просим ввести электронную почту.

Такая облегченная регистрация повышает лояльность пользователя и не напрягает его регистрироваться у вас на сайте.

Как только будет введена почта, то на этот адрес отправляются регистрационные данные вида:

Логин генерируется в виде user_(6 случайных символов из 0-9 A-Z a-z), примерный вид user_123rTU (конечно проводиться поиск такого по базе данных на совпадения, если нет, то оставляем, если есть, то генерируем новый).

Пароль генерируется 6 случайных символов из 0-9 A-Z a-z. Пользователь у себя в кабинете, потом всегда сможет изменить пароль на свой.

PIN код генерируется примерно 4-5 цифр, комбинации одного знака (например 1111) не используются.

Все эти данные мы также хешируем и уже хеши помешаем в таблицу временных ников, если в течении суток, пользователь не воспользовался данными для входа, то они убираются.

Вход на сайт довольно прост, вводиться логин и пароль, если это введено правильно, то следующим шагом просится ввести PIN код, на его правильный ввод дается 3-5 попыток, если количество попыток исчерпано, то автоматически генерируются, новые данные для пользователя и высылаются ему на email.

Востановление регистрационных данных простое, пользователь должен указать свой email. Вне зависимости есть такой email или нет, пользователь получает сообщение, что если такой email существует, то ему отошлются туда текущие регистрационные данные.

Данный метод намного лучше и надежней, чем применение капчи и прочих фишек против взлома.

Хочу обратить внимание, что при брутфорсе хакер никак не сможет вычислить email пользователя при проведении атаки, в то время как другие сайты позволяют с легкостью использовать email пользователя, как логин.
 

1579948128
Hero Member
*
Offline Offline

Posts: 1579948128

View Profile Personal Message (Offline)

Ignore
1579948128
Reply with quote  #2

1579948128
Report to moderator
1579948128
Hero Member
*
Offline Offline

Posts: 1579948128

View Profile Personal Message (Offline)

Ignore
1579948128
Reply with quote  #2

1579948128
Report to moderator
"This isn't the kind of software where we can leave so many unresolved bugs that we need a tracker for them." -- Satoshi
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1579948128
Hero Member
*
Offline Offline

Posts: 1579948128

View Profile Personal Message (Offline)

Ignore
1579948128
Reply with quote  #2

1579948128
Report to moderator
be.open
Hero Member
*****
Offline Offline

Activity: 938
Merit: 577


creative force in action


View Profile
June 27, 2017, 07:52:40 AM
 #2

Вход на сайт довольно прост, вводиться логин и пароль, если это введено правильно, то следующим шагом просится ввести PIN код, на его правильный ввод дается 3-5 попыток, если количество попыток исчерпано, то автоматически генерируются, новые данные для пользователя и высылаются ему на email.
Давайте посмотрим на текущее положение вещей, вводишь логин-пароль, браузер предлагает сохранить, допустим сохраняешь и далее входишь на сайт прозрачно, или через капчу. Для входа на биржу или подтверждения платежей в зависимости от настроек может потребоваться дополнительная аутентификация.
Это удобно, привычно и достаточно безопасно (при условии достаточно сложных паролей, и контроля над почтой и сотовым).

То, что предлагаете вы, для пользователя крайне дискомфортно, начнём с того, что я не хочу быть пользователем user_123rTU.
Отказ от права выбирать свой логин слишком большая жертва на алтарь безопасности!

imhoneer
Hero Member
*****
Offline Offline

Activity: 994
Merit: 636



View Profile WWW
June 27, 2017, 08:48:47 AM
 #3

Давайте посмотрим на текущее положение вещей, вводишь логин-пароль, браузер предлагает сохранить, допустим сохраняешь и далее входишь на сайт прозрачно, или через капчу. Для входа на биржу или подтверждения платежей в зависимости от настроек может потребоваться дополнительная аутентификация.
Это удобно, привычно и достаточно безопасно (при условии достаточно сложных паролей, и контроля над почтой и сотовым).

То, что предлагаете вы, для пользователя крайне дискомфортно, начнём с того, что я не хочу быть пользователем user_123rTU.
Отказ от права выбирать свой логин слишком большая жертва на алтарь безопасности!

Вот именно, достаточно сложных паролей и он вовсе не дает сильной защиты от взлома, т.к. капча не является противодействием брутфорсу.

Вы вводите логин user_123rTU только один раз при входе на сайт, а если там будет чат или ещё что где нужно ваше имя, то есть ник, который Вы сможете выбрать сами себе, что ещё больше повысит бесопасность, т.к. ник будет совершенно отличным от логина.

И ваши слова о том, что логин так важен, это более, чем странно, когда идет речь о безопасности ваших денег.

xandry
Moderator
Legendary
*
Offline Offline

Activity: 1876
Merit: 1269



View Profile
June 29, 2017, 12:17:01 PM
 #4

Если вы толкуете про наш форум, то лучше такое описывать на английском непосредственно в разделе "Meta"

████████████████████████████
████████▀▀ █▀ █▀ ▀██████████
█████████▄ ▄▄▄▄▄▄███████████
██████████▀     ▀  ▀████████
███████▀ ▀  ▄█▀▀▀█▀▀████████
██████▄      █▄  ▀▀  ▀██████
██████         ▄▄█▄ ▄ ▀█████
█████ ▄         ▀▀ ▄ ▀ █████
██████▌          █▀█▀ ▐█████
███████  ▄▌         ▄ ██████
████████▄█         ▄████████
█████████▀     ▄▄ ▄█████████
████████████████████████████
.JACKMATE'S...........
.
MAJESTIC..
████████████████████████
███████████████████████
████████████████████████
████████████████████████
████████████████████████
████████████████████████
████████████████████████
████████████████████████
████████████████████████
████████████████████████
████████████████████████
████████████████████████
████████████████████████
.
..WIN 1 BITCOIN ON EVERY PREMIER LEAGUE MATCHDAY..
████████████████████████████████
████████████▀█▀ ▀█▀█▀███████████
███████████▄ ▄▄▄▄▄▄▄████████████
███████████▀▀▄▄▄▄▄▄▄▄███████████
█████████▀▄ ██▀▄▄▄ ▀ ▄▀█████████
███████▀ ▀█████▄▄▄█▄▄▄██████████
███████▀▄████████▀  ▀█ █▐███████
███████ ▀█████████▄█▀▀██ ███████
████████ ███▀██████ ▄ ██ ███████
████████▌▐▀▄ ██████████ ▄███████
█████████▄██▌▐█████▀██ █████████
████████████▄▀▀▀▀▀▄ ▀▄██████████
████████████████████████████████
.
.JOIN US - IT'S FREE! .
imhoneer
Hero Member
*****
Offline Offline

Activity: 994
Merit: 636



View Profile WWW
June 29, 2017, 12:38:50 PM
 #5

Если вы толкуете про наш форум, то лучше такое описывать на английском непосредственно в разделе "Meta"

Нет это идея для всех, просто может человек будет делать сайт финансовой тематики и озаботиться безопасностью, то возможно эта моя идея ему подойдет, а если возникнут вопросы, то всегда готов на них ответить и помочь в реализации, т.к. эту идею я делал на своем сайте с использованием PHP.

Tuareg
Sr. Member
****
Offline Offline

Activity: 980
Merit: 295


View Profile
July 23, 2017, 07:33:16 AM
 #6

Если вы толкуете про наш форум, то лучше такое описывать на английском непосредственно в разделе "Meta"

Нет это идея для всех, просто может человек будет делать сайт финансовой тематики и озаботиться безопасностью, то возможно эта моя идея ему подойдет, а если возникнут вопросы, то всегда готов на них ответить и помочь в реализации, т.к. эту идею я делал на своем сайте с использованием PHP.
интересная идея у вас, сейчас с ребятами ее проанализируем, возможно в ближайшее время появятся вопросы.
imhoneer
Hero Member
*****
Offline Offline

Activity: 994
Merit: 636



View Profile WWW
July 23, 2017, 09:15:31 PM
 #7


интересная идея у вас, сейчас с ребятами ее проанализируем, возможно в ближайшее время появятся вопросы.

Спрашивайте, всегда постараюсь ответить.

Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!