1. घर
  2. सवाल और जवाब
  3. लॉगिन के कारण खाता अक्षम करें 3 बार विफल

लॉगिन के कारण खाता अक्षम करें 3 बार विफल

2009-07-04 9 views
6

हाल ही में मैंने एक लेख पढ़ा है जो ब्रूट-फोर्स हमले को रोकने के बारे में है। यह कहा गया है कि स्वचालित रूप से उपयोगकर्ता खातों को अक्षम करना एक शब्दकोश हमले से लड़ने के लिए एक खराब सुरक्षा तंत्र है। पहली जगह में, यदि कोई हमलावर हर 30 मिनट में तीन बार गलत तरीके से अपना पासवर्ड अनुमान लगाकर खाता अक्षम कर सकता है, तो वह उस उपयोगकर्ता को सिस्टम तक पहुंचने से प्रभावी ढंग से रोक सकता है। दूसरी जगह, क्योंकि यह तकनीक मानती है कि हमलावर उपयोगकर्ता नाम निरंतर और पासवर्ड बदल रहा है। क्या होगा यदि हमलावर ने पासवर्ड को निरंतर रखा और उपयोगकर्ता नाम बदल दिया? हम पहले से ही जानते हैं कि उपयोगकर्ताओं का एक बड़ा प्रतिशत "पासवर्ड" जैसे सामान्य पासवर्ड का उपयोग करता है। एक शब्दकोश हमले का उपयोग कर एक हैकर उपयोगकर्ता नाम सूची में प्रत्येक उपयोगकर्ता के लिए "पासवर्ड" आज़मा सकता है, जिसमें न केवल सफलता का उच्च अवसर होगा, बल्कि खाता लॉकआउट तर्क से भी बच जाएगा। एक हमलावर हजारों लॉगिन प्रयास कर सकता है, और यहां तक ​​कि यदि उनमें से प्रत्येक विफल हो गया है, तो सिस्टम केवल प्रति खाता एक गलत लॉगिन पंजीकृत करेगा।लॉगिन के कारण खाता अक्षम करें 3 बार विफल

क्या कोई मुझे अक्षम खाता को और अधिक सुरक्षित बनाने के लिए कुछ सुझाव दे सकता है?

स्रोत

2009-07-04 Anonymous

उत्तर

3

कुछ विचार:

  1. आप आईपी पता (ते) है कि ऐतिहासिक रूप से किसी दिए गए खाते में प्रवेश करने के लिए इस्तेमाल किया गया है का एक इतिहास रख सकते हैं। लॉकआउट तंत्र सहायक हो सकता है, लेकिन उपयोगकर्ता के बुरे दिन को और भी खराब बनाने से बचने के लिए उन मान्यता प्राप्त पतों पर थोड़ा अधिक उदार होना चाहिए।

  2. अन्य स्थितियों के लिए एक आईपी के साथ कई खातों पर एक ही पासवर्ड की कोशिश कर रहा है, इस बात का ट्रैक रखें कि एक ही आईपी पते में विभिन्न खातों पर कई अमान्य प्रयास हैं, और उस आईपी को एक घंटे या उससे भी अधिक समय तक लॉक करें।

  3. कई खातों पर एक ही पासवर्ड का प्रयास करने के लिए कई आईपी का उपयोग करके एक बोनेट के मामले में, ट्रैक रखें कि क्या एक ही पासवर्ड का प्रयास करने वाले आईपी पते का बंधन रहा है या नहीं। यदि ऐसा है, तो अस्थायी रूप से इसे बना दें ताकि पासवर्ड सही हो तो भी पंक्ति में दो बार दर्ज किया जाना चाहिए। (सामान्य उपयोगकर्ता सिर्फ सोचेंगे कि उन्होंने अपना पासवर्ड गलत टाइप किया है।)

  4. जैसा कि बताया गया है, अगर हमले का पता चला है, अस्थायी रूप से कैप्चा या कुछ अन्य सुरक्षा प्रश्न की आवश्यकता है (वैध पासवर्ड का नाटक करने के अलावा पहली कोशिश में गलत था) । जबकि कैप्चा-रीडिंग टूल्स संभव हैं, मुझे नहीं लगता कि वे अभी तक प्रचलित हैं, और ओसीआर के लिए बहुत सारे CPU समय की आवश्यकता होती है।

स्रोत

2009-07-04 06:56:49

+0

मैं हाल ही में एक कैप्चा देख रहा हूं जहां आपको एक छवि को फिर से इकट्ठा करना है, ऐसा लगता है कि यह 4 के लिए एक अच्छा जोड़ा हो सकता है। – Stuart

1

मजबूत पासवर्ड फोर्स करें। यह मूर्ख-प्रमाण नहीं है, लेकिन यह उपयोगकर्ता को लॉक करने से बेहतर है।

स्रोत

2009-07-04 06:36:03 geowa4

1

यह जांचने के लिए कैप्चा का उपयोग करने का प्रयास करें कि यह एक मानव या बॉट है जो लॉगिन करने का प्रयास कर रहा है, तीन गलत लॉगिन प्रयासों के बाद।

स्रोत

2009-07-04 06:37:34

+0

सॉफ़्टवेयर लगभग कैप्चास को बेहतर से पढ़ सकता है ... – geowa4

+0

मेरा मतलब है, कठिन, शोर कैप्चा। –

+0

रीकैप्चा का उपयोग करें, यह अधिकतर कैप्चास से मुफ़्त, अधिक सुरक्षित है और एक महान कारण में मदद करता है। –

2

कुछ प्रयासों के बाद एक खाता लॉक करना किसी दिए गए खाते के लिए अप्रभावी मजबूर कर देता है। यह अकेले ही नहीं होने पर एक बड़ा फायदा है।

कुछ लॉगिन प्रयासों के बाद आईपी लॉक करना ब्रूट-फोर्सिंग-उपयोगकर्ता नाम हमले अप्रभावी (जब तक कि आप एक बॉट-नेट या इसी तरह के जटिल हमलावर के खिलाफ नहीं हैं) उदाहरण देते हैं। यह होने से बेहतर नहीं है।

संपादित करें: जब मैं कहता हूँ "कोई खाता ताला लगा", मैं समय की एक छोटी अवधि की चर्चा करते हुए कर रहा हूँ (30 सेकंड तो 1 मिनट तो 2 मिनट तो 4 मिनट तो 8 मिनट आदि ...)

जब आप कुछ करने की कोशिश कर रहे हैं तो मुझे "सहायता के लिए ग्राहक सहायता कॉल" करने पर भी खड़ा नहीं रह सकता है।

स्रोत

2009-07-04 06:37:52 gahooa

+2

किसी उपयोगकर्ता को लॉक करना उन लोगों के लिए परेशान है जो लॉक हो चुके हैं। * पहला हाथ अनुभव * – geowa4

+0

क्या आपका मतलब है कि पहले असफल लॉगिन प्रयास के बाद, उदाहरण के लिए, प्रतिक्रिया 30 सेकंड तक देरी होगी। दूसरे असफल प्रयास के बाद, प्रतिक्रिया में 1 मिनट तक देरी होगी, और इसी तरह? –

+0

हां, आप उपयोगकर्ता को "अपने खाते को जमा करने" के द्वारा समायोजित नहीं करते हैं - बस प्रत्येक असफल प्रयास के लिए सेकंड की बढ़ती संख्या के लिए लॉगिन में देरी करें। – gahooa

2

जीमेल की तरह कुछ करने के बारे में क्या। यदि आप एक्स बार याद करते हैं, तो आपको एक कैप्चा दर्ज करना होगा।

स्रोत

2009-07-04 06:38:01 Macarse

0

मैंने कुछ ऐसी वेबसाइटें देखी हैं जो आपको स्थायी रूप से अवरुद्ध नहीं करती हैं लेकिन यदि आप बल लगाने की कोशिश करते हैं तो आपको एक निर्धारित अवधि के लिए अवरुद्ध करते हैं। वास्तव में विंडोज़ भी यही करता है, कुछ समय के लिए अपने विंडोज पासवर्ड को गलत करने का प्रयास करें और आपका कंप्यूटर एक मिनट या उससे भी अधिक समय तक स्थिर हो जाएगा।

स्रोत

2009-07-04 06:46:12

0

यह याद रखना महत्वपूर्ण है कि सुरक्षा उपायों का उद्देश्य बुरे लोगों को बाहर रखने के लिए नहीं है, वे बुरे लोगों के लिए इसे कठिन (उम्मीदवार एनपी हार्ड) बनाने के तरीके हैं ... एक राज्य -थ-कला ट्रिपल-टंबर दरवाजा एक चोर नहीं रखेगा जो जानता है कि छत की टाइलें कैसे उठाएं, या एक बम बेल्ट के साथ एक पिसोच कैसे उठाएं।

मैं मानता हूं: मैंने 30 मिनट की पुनः प्रयास -> स्थायी उपयोगकर्ता लॉकआउट -> सेवा हमले कोण से इनकार करने का विचार नहीं किया था ... मेरी दुनिया में एक पासवर्ड लॉकआउट तब तक स्थायी है जब तक एक सिसडमिन "मैन्युअल रूप से" पुनः सक्षम नहीं करता लेखा। ऐसा लगता है कि हमारे लिए काम करता है।

रूप gahooa पहले ही कहा गया है, संभवतः सबसे अच्छा तरीका है, तो आप व्यायाम कर सकते हैं अगर यह कैसे करना है, काले सूची किसी भी का पता चला बॉट गतिविधि के लिए प्रारंभिक आईपी पते होगा।

एलन पहले से ही कहा गया है, मानव-केवल-पढ़ने योग्य गेट आपके व्यावहारिक (लगभग इन दिनों मानक) आपके रहने वाले कमरे से बॉट को रखने का तरीका है।

चीयर्स। कीथ।

स्रोत

2009-07-04 06:49:50 corlettk

0

वे जिस तरह से मैं इसे स्थापित किया है खाता लॉकआउट के बाद (2) विफल लॉगिन प्रयास है। जीपीओ में खाता लॉकआउट अवधि 0 पर भी सेट करें जो व्यवस्थापक को तब तक अक्षम कर देगा जब तक कि व्यवस्थापक इसे अन-लॉक न करे।

स्रोत

2013-02-13 22:24:24 user1834583

संबंधित मुद्दे

 संबंधित मुद्दे