3-स्ट्राइक सिक्योरिटी की कमजोरियाँ

10

मैं सुरक्षा, विशेष रूप से पासवर्ड सुरक्षा / एन्क्रिप्शन पर कुछ साहित्य पढ़ रहा हूं, और एक बात है जो मुझे आश्चर्य हो रहा है: क्या 3-स्ट्राइक नियम पासवर्ड सुरक्षा का एक सही समाधान है? यही है, अगर पासवर्ड के प्रयासों की संख्या कुछ छोटी संख्या तक सीमित है, जिसके बाद सभी प्रमाणीकरण अनुरोधों को सम्मानित नहीं किया जाएगा, तो क्या यह उपयोगकर्ताओं को घुसपैठ से नहीं बचाएगा? मुझे लगता है कि किसी चीज़ पर पहुँच या नियंत्रण हासिल करने का मतलब हमेशा प्रमाणीकरण प्रणाली से गुजरना नहीं होता है, लेकिन क्या यह सुविधा शब्दकोश / जानवर-बल के हमलों को अप्रचलित नहीं बनाती है? क्या मुझे कुछ याद आ रहा है?

security 
prelic
स्रोत
3
यह प्रश्न भविष्य में संदर्भ के लिए सुरक्षा में बेहतर पूछा जा सकता है ।
maple_shaft
1
जैसा कि मैंने पाया है, वहाँ हमेशा कहीं न कहीं पूछने के लिए अधिक उपयुक्त है। हालांकि धन्यवाद, मैं कोशिश करता हूँ और याद है कि।
11
5
goodguys_activate

जवाबों:

13

हां, यह लॉगिन तंत्र के माध्यम से शब्दकोश हमलों को असंभव बना देगा । (इसका मतलब यह नहीं है कि अगर वे डेटाबेस तक पहुंच प्राप्त करते हैं, हालांकि। सुरक्षा के लिए आपको पासवर्ड को ठीक से हैश और नमक की आवश्यकता होगी।)

यह एक निश्चित उपयोगकर्ता के खिलाफ DOS हमले की संभावना को भी अनुमति देता है। मान लें कि मैं आपको लॉग इन करने से रोकना चाहता था। मुझे बस इतना करना है कि अपने खाते के विरुद्ध तीन संगीन लॉगिन प्रयास चलाएं, और फिर हर बार जब आप लॉगिन को रीसेट करने के लिए आवश्यक हो, तो इसे फिर से करें। उस मुद्दे से निपटना थोड़ा मुश्किल है।

मेसन व्हीलर
स्रोत
1
धन्यवाद! जिज्ञासा से बाहर, आपके द्वारा वर्णित बाद की समस्या से निपटने के लिए एक दृष्टिकोण क्या होगा? एक वास्तविक दुनिया के उदाहरण के लिए, ऑनलाइन मंचों के टन सार्वजनिक आईडी का उपयोग लॉगिन आईडी के रूप में करते हैं (एसेंट या किसी अन्य चीज़ से जुड़ी ईमेल के विपरीत), जिसका अर्थ है कि मैं देख सकता हूं कि हर एक उपयोगकर्ता लॉगिन करने के लिए क्या उपयोग कर रहा है। मुझे हर एक उपयोगकर्ता को उनके खाते से लॉक करने से रोकने के लिए क्या है? एक अच्छा प्रशासक? ऐसा लगता है कि साइट से हर एक उपयोगकर्ता को लॉक करना तुच्छ रूप से आसान होगा।
16
@prelic: ठीक है, उस समस्या से निपटने के लिए, मैं कुछ ऐसा लागू करूंगा "यदि एक निश्चित आईपी पता बहुत अधिक अमान्य लॉगिन प्रयास करता है, तो उन्हें ब्लॉक करें।" यह आपके द्वारा बताए गए परिदृश्य को रोक देगा, लेकिन यह एक बोटनेट जैसे गंभीर हैक प्रयास से नहीं निपटेगा। उसके लिए आपको भारी सुरक्षा चाहिए।
मेसन व्हीलर
4
सामान्य समाधान यह है कि किसी निश्चित उपयोगकर्ता के लिए आने वाले प्रयासों की दर को एक निश्चित आईपी से 5 प्रति मिनट कहा जाए। यह सही नहीं है, लेकिन आमतौर पर आप अन्य उपयोगकर्ताओं के लिए समस्याएं पैदा नहीं करते हैं, जब तक कि आप एक ही प्रॉक्सी के पीछे नहीं होते हैं
एंड्रिया
एक अन्य दृष्टिकोण एक ही आईपी से 2 असफल लॉगिन प्रयासों के बाद एक कैप्चा पेश करना है - लेकिन फिर, एक निर्धारित हमलावर इस उद्देश्य के लिए बस कैप्चा-ब्रेकिंग मैकेनिकल टर्क किराए पर ले सकता है, इसके अलावा एक अच्छा कैप्चा खोजना बहुत मुश्किल है जो वास्तव में मशीनों को रखता है बाहर।
tdammers
3

मैं यह भी मानता हूं कि यह शब्दकोश के हमलों को कम अधिकार के बिना किसी खाते तक पहुंच प्राप्त करने के तरीके के रूप में कम प्रभावी बनाता है। तथापि:

  • यह दृष्टिकोण डिक्शन अटैक के डिक्शन अटैक में सिस्टम के खिलाफ पहुंच को रोक सकता है, अगर इसे खराब तरीके से लागू किया जाए। उदाहरण के लिए, प्रमाणीकरण प्रयासों से एक सर्वर में बाढ़ आ सकती है। इसके आस-पास का एक तरीका यह है कि प्रमाणित सेवा को बाद के एक्सेस के प्रवाह को लॉक-आउट खाते में नियंत्रित किया जाए। उदाहरण के लिए, यदि कोई खाता बंद है, तो प्रत्येक बाद के लॉगिन प्रयास से पहले एक विलंब प्रस्तुत करें। एक लॉगिन प्रयास और एक `प्रवेश निषेध 'के बीच देरी कर सकता है, हालांकि, जो सेवा हमले के एक वितरित इनकार के लिए दरवाजा खुला रखता है जहां एक हमलावर कई युगपत प्रमाणीकरण प्रयासों का शुभारंभ करता है।

  • जैसा कि अन्य उत्तर में उल्लेख किया गया था, यह भी खाता के वैध मालिक के खिलाफ क्रूड डीओएस में एक शब्दकोश हमले को बदल सकता है। वैध मालिक के प्रभाव को कम करने के तरीके में शामिल हैं:

    • यह उपयोगकर्ता नाम या पासवर्ड गलत है, इस पर कोई सुराग प्रदान करके उपयोगकर्ता नाम पर एक रन धीमा करना। यह उन हमलों को करता है जहां अपराधी उपयोगकर्ता के प्रशासकों के लिए अधिक दृश्यमान और कम प्रभावी होने का अनुमान लगा रहा है।
    • एक निश्चित संख्या में विफल प्रयासों के बाद किसी खाते को लॉक करने के बजाय, प्रमाणीकरण के उस मोड को बंद कर दें। दूसरे शब्दों में, एक ऐसे उपयोगकर्ता की आवश्यकता होती है जो किसी भिन्न (संभवतः अधिक शामिल, लेकिन कम आसानी से हमला किया गया) पद्धति का उपयोग करके प्रमाणित करने के लिए हमला किया जा रहा हो। एक अच्छा उदाहरण यह है कि एंड्रॉइड फोन को स्क्रीन अनलॉक पैटर्न या पिन का उपयोग करके प्रमाणित करने में विफल होने के बाद उपयोगकर्ता को अपनी Google लॉगिन जानकारी का उपयोग करने की आवश्यकता कैसे होगी। सिद्धांत रूप में, यह एक तरह से हमला करने वाले उपयोगकर्ता को अपने खाते को अनलॉक करने के लिए कहने के लिए आवश्यक है, हालांकि, इसके लिए सिस्टम व्यवस्थापक से तत्काल हस्तक्षेप की आवश्यकता नहीं है।
    • एक खाते को लॉक करने के बजाय (या किसी खाते को लॉक करने के अलावा, प्रमाणीकरण के इस विशेष मोड के लिए - ऊपर देखें) उस स्थान से प्रमाणित करने के प्रयासों को लॉक करें जहां हमला उत्पन्न हो रहा है। उदाहरण के लिए, यदि प्रमाणीकरण नेटवर्क पर उपयोगकर्ता नाम और पासवर्ड के माध्यम से किया जाता है, तो तीन असफल प्रमाणीकरण प्रयासों के बाद आप एक ही आईपी या उपनेट से उपयोगकर्ताओं के आगे के प्रयासों को उपयोगकर्ता नाम या पासवर्ड से लॉग इन करने से रोक सकते हैं। जहां एक अच्छा मौका है कि कई उपयोगकर्ता (हमलावर सहित) एक ही आईपी या सबनेट का उपयोग कर सकते हैं, आप केवल आईपी या सबनेट के लिए उपयोगकर्ता नाम / पासवर्ड प्रमाणीकरण को कुछ समय के लिए निष्क्रिय कर सकते हैं, जिससे निर्दोष के लिए और अधिक प्रमाणीकरण तरीके खुल सकते हैं। उपयोगकर्ता हमलावर के निकटता में

  • यदि आपका डर अनजाने में एक भुलक्कड़ उपयोगकर्ता को दंडित करना है जैसे कि वे एक हमलावर थे, तो असफल प्रयासों के एक निश्चित संख्या के बाद असफल लॉगिन प्रयासों के प्रवाह को नियंत्रित करने के बजाय , आप लॉगिन प्रयासों की आवृत्ति का उपयोग कर सकते हैं क्योंकि सबूत एक खाते पर हमला किया जा रहा है। उदाहरण के लिए, यदि आप एक सेकंड के भीतर 10 प्रमाणीकरण प्रयास देखते हैं, तो आप इसी तरह के प्रमाणीकरण प्रयासों को रोकने के लिए ऊपर दिए गए तरीकों में से एक का उपयोग कर सकते हैं। वैकल्पिक रूप से, आप प्रवाह को नियंत्रित करने के लिए सिग्नल के रूप में लॉगिन प्रयासों के इस तीव्र बाढ़ का उपयोग कर सकते हैं। यह विधि मंचों पर अधिक से अधिक लोकप्रिय हो रही है, जबकि, एक विशेष आईपी से कुछ निश्चित विफल प्रयासों के बाद, उस आईपी को थोड़े समय के लिए प्रमाणित करने से रोका जाता है।

  • अंत में, एक उपयोगकर्ता को बार-बार DOS हमले से लक्षित होने से रोकने का एक अच्छा तरीका है कि वह उसे / उसके पासवर्ड और उपयोगकर्ता नाम दोनों को रीसेट करने की अनुमति दे । दूसरे शब्दों में, उपयोगकर्ता नाम और पासवर्ड दोनों को रहस्यों के रूप में समझें। जहाँ उपयोगकर्ता नाम कहीं और उपयोग किया जाता है (उदाहरण के लिए एक मंच में, यदि उपयोगकर्ता नाम उपयोगकर्ता का नाम है), तो बस इस प्रदर्शन नाम को कुछ अलग मानें। यह दृष्टिकोण आमतौर पर सामाजिक नेटवर्क द्वारा उपयोग किया जाता है जहां प्रमाणीकरण में उपयोग किया जाने वाला उपयोगकर्ता नाम एक ईमेल पता है - कुछ ऐसा जिसे बदला जा सकता है, लेकिन शायद ही कभी साझा किया जाता है - जबकि साइट पर उपयोग किया जाने वाला प्रदर्शन नाम कुछ उपयोगकर्ता-परिभाषित है जो हो सकता है या नहीं बदल जाओ।

वैसे भी, मुझे उम्मीद है कि इन तरीकों में से एक या कुछ संयोजन काम में आएंगे।

सीटीटी
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.