Часть 1
Полный перебор
или метод «грубой силы»,
англ. brute force
более 100 000 000 аккаунтов
более 130 000 000 аккаунтов
4,93М аккаунтов
< 6 символов
200к ~ 4,3%
< 8 символов
1,6М ~ 34%
1,25М аккаунтов
< 6 символов
8к ~ 0,5%
< 8 символов
556к ~ 44%
4,58М аккаунтов
< 6 символов
83к ~ 2%
< 8 символов
1,8М ~ 38%
Коллекция из нескольких типов списков, используемых в процессе оценки безопасности, собранные в одном месте. Типы списков включают в себя имена пользователей, пароли, URL, чувствительные шаблоны данных, Fuzzing полезные нагрузки, веб-оболочки, и многое другое.
https://github.com/danielmiessler/SecLists
Блокировка пользователя по ip
Блокировка возможности ввода пароля, после ряда неверно введенных данных
Ошибочный ответ должен быть один для всего, для неверного логина, пароля и пр.
Рандомная задержка при не верном ответе (1-3 сек)
Метод прогрессивной задержки
Уведомление эксплуатации, при повышении нагрузки
CSRF токен, CAPTCHA
CSRF (Cross-Site Request Forgery, также XSRF) – опаснейшая атака, которая приводит к тому, что хакер может выполнить на неподготовленном сайте массу различных действий от имени других, зарегистрированных посетителей.
Основное применение CSRF — вынуждение выполнения каких-либо действий на уязвимом сайте от лица жертвы (изменение пароля, секретного вопроса для восстановления пароля, почты, добавление администратора и т. д.).
Для разработчика
Одноразовый токен для каждого действия
Ограничение времени жизни сессии
Для пользователя
To be continued ...