Как вы защищаете админки в своих проектах?

Question

[Dadoshik]

Поделитесь, как вы защищаете админку в своих проектах?

Answer 1

[Александр Аксентьев]

А как её помимо логина и пароля надо защищать?

Если бояться брута логина и пароля, то оно и для пользователей небезопасно получается, и проблема уже не в том что нет еще какой-то защиты.

А прикручивать всякие дополнительные уровни практически нет условий.
По IP - динамика у всех фирм средней паршивости(мобильный интернет)
Active Directory/LDAP - аналогично, там стоят пиратки всякие и вообще нет никакой структуры ITшной.
Больше не знаю что еще можно прикрутить, если только еще один логин и пароль.

Как защищается админка wordpress/octobercms/joomla и другие? Из коробки никак.
А все что сверху запиливают сложные редиректы, нестандартные пути в админку и т.д. это вообще не защита

Comments

[Stalker_RED]

От брута можно защищаться вводом задержки после каждой неудачной попытки авторизации. Особенно в случае, когда DoS лучше, чем проникновение.

[Александр Аксентьев]

Stalker_RED: это само собой. Это подразумевал в самом первом пункте про безопасность юзеров.

Про 2fa только забыл, правда история с кривыми реализация подсказывает что и это не выход, но самый реалньый способ по крайней мере.

Answer 2

[Сергей ZSA]

Логин и пароль. Если надо - двухтактовая по телефону. Если прямо вообще очень надо - тогда еще и по совместимости ip+браузер+операционка. Если уж ну прям вообще заморочиться - добавить геопозицию, но это для совсем тяжелых случаев.

P.S. Я так понял вопрос про вход в админку.

Comments

[Stalker_RED]

Если не брут, а направленная атака, то браузер, операционка и геопозиция легко подделываются. Не то чтобы они совсем не осложняли задачу злоумышленнику, но особо рассчитывать на них не стоит.

[Сергей ZSA]

Stalker_RED: Ну поэтому все это после двухтактовой