Как бороться со взломщиками?

@mselez · Регистрация: 22.07.2009

Студворк — интернет-сервис помощи студентам

Есть программы, которые подбирают логин-пароль. Как с ними на сервере бороться? В общих чертах понятно, но наверное есть наработанные ходы?

06.05.2010, 13:18

0) Искуственно (хотя бы Thread.sleep()'ом) замедлять работу логина после пары неудачных попыток.

Новые пароли
1) Парсить регэкспами на наличие и букв и цифр. Проверять длину.
2) Парсить на похожесть на даты, номера машин, и т.д.
3) Проверять пароль по пассворд-листу.
4) Можно попытаться заюзать это: http://sourceforge.net/projects/solinger/ хотя версия 0.5 и 1999 год последнего обновления меня как-то не вдохновляют.

PS. Юзеров такие ограничения почему-то бесят. Т.е. на сайте с широкой аудиторией я бы раз 8 подумал перед тем как ставить что-то кроме проверки на длину.

07.05.2010, 19:54

сдедать проверку например на пять логинов под одним и тем же Логином а потом редиректать его на форгот пассворд пейдж?

09.05.2010, 20:11

Не осоьо катит - какой-нибудь кацкер сможит так 'просто для прикола' лочить логины.

@mselez · 09.05.2010, 20:36 **[ТС]**

Выглядит это так - с одного IP приходят в большом количестве запросы со случайными значениями логин-пароль, или перебирают часто используемые слова типа guest, admin, имена людей и фамилии.
Я пришел к такому алгоритму борьбы с засранцами: считать количество неудавшихся попыток для каждого IP. После нескольких неудачных попыток подряд отсылать на страницу 'Позвони нам'. Если же полное число неудачных попыток превышает несколько десятков за некоторый период времени, то записываем IP в базу и больше не допускаем к логину этого клиента, даже если он правильный логин вводит, т.е. баним. Если это честный фраер, то пусть звонит. Практически, IP у всех постоянные.

Новые блоги и статьи Все статьи Все блоги /
Идея фильтра интернета (сервер = слой+фильтр). Hrethgir 31.03.2026 Суть идеи заключается в том, чтобы запустить свой сервер, о чём я если честно мечтал давно и давно приобрёл книгу как это сделать. Но не было причин его запускать. Очумелые учёные напечатали на. . .	Модель здравосоХранения 6. ESG-повестка и устойчивое развитие; углублённый анализ кадрового бренда anaschu 31.03.2026 В прикрепленном документе раздумья о том, как можно поменять модель в будущем	10 пpимет, которые всегда сбываются Maks 31.03.2026 1. Чтобы, наконец, пришла маршрутка, надо закурить. Если сигарета последняя, маршрутка придет еще до второй затяжки даже вопреки расписанию. 2. Нaдоели зима и снег? Не надо переезжать. Достаточно. . .	Перемещение выделенных строк ТЧ из одного документа в другой Maks 31.03.2026 Реализация из решения ниже выполнена на примере нетипового документа "ВыдачаОборудованияНаСпецтехнику" с единственной табличной частью "ОборудованиеИКомплектующие" разработанного в конфигурации КА2. . . .
Functional First Web Framework Suave DevAlt 30.03.2026 Sauve. IO Апнулись до NET10. Из зависимостей один пакет, работает одинаково хорошо как в режиме проекта так и в интерактивном режиме. из сложностей - чисто функциональный подход. Решил. . .	Автоматическое создание документа при проведении другого документа Maks 29.03.2026 Реализация из решения ниже выполнена на нетиповых документах, разработанных в конфигурации КА2. Есть нетиповой документ "ЗаявкаНаРемонтСпецтехники" и нетиповой документ "ПланированиеСпецтехники". В. . .	Настройка движения справочника по регистру сведений Maks 29.03.2026 Решение ниже реализовано на примере нетипового справочника "ТарифыМобильнойСвязи" разработанного в конфигурации КА2, с целью учета корпоративной мобильной связи в коммерческом предприятии. . . .	Автозаполнение реквизита при выборе элемента справочника Maks 27.03.2026 Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. При выборе "Спецтехники" (Тип Справочник. Спецтехника), заполняется. . .

@mselez 0 / 0 / 0 Регистрация: 22.07.2009 Сообщений: 457

	Как бороться со взломщиками? 06.05.2010, 05:35. Показов 940. Ответов 4 Метки нет (Все метки) Есть программы, которые подбирают логин-пароль. Как с ними на сервере бороться? В общих чертах понятно, но наверное есть наработанные ходы? 0

noir
	06.05.2010, 13:18
	0) Искуственно (хотя бы Thread.sleep()'ом) замедлять работу логина после пары неудачных попыток. Новые пароли 1) Парсить регэкспами на наличие и букв и цифр. Проверять длину. 2) Парсить на похожесть на даты, номера машин, и т.д. 3) Проверять пароль по пассворд-листу. 4) Можно попытаться заюзать это: http://sourceforge.net/projects/solinger/ хотя версия 0.5 и 1999 год последнего обновления меня как-то не вдохновляют. PS. Юзеров такие ограничения почему-то бесят. Т.е. на сайте с широкой аудиторией я бы раз 8 подумал перед тем как ставить что-то кроме проверки на длину.

mishgun
	07.05.2010, 19:54
	сдедать проверку например на пять логинов под одним и тем же Логином а потом редиректать его на форгот пассворд пейдж?

noir
	09.05.2010, 20:11
	Не осоьо катит - какой-нибудь кацкер сможит так 'просто для прикола' лочить логины.

@mselez 0 / 0 / 0 Регистрация: 22.07.2009 Сообщений: 457
	09.05.2010, 20:36 [ТС]
	Выглядит это так - с одного IP приходят в большом количестве запросы со случайными значениями логин-пароль, или перебирают часто используемые слова типа guest, admin, имена людей и фамилии. Я пришел к такому алгоритму борьбы с засранцами: считать количество неудавшихся попыток для каждого IP. После нескольких неудачных попыток подряд отсылать на страницу 'Позвони нам'. Если же полное число неудачных попыток превышает несколько десятков за некоторый период времени, то записываем IP в базу и больше не допускаем к логину этого клиента, даже если он правильный логин вводит, т.е. баним. Если это честный фраер, то пусть звонит. Практически, IP у всех постоянные. 0