Как бороться с брутфорсом?

Question

[JackShcherbakov]

Здравствуйте!

Допустим есть форма входа на сайте. Как сделать защиту от брута лучше?

Я подумал и решил сделать такой вариант:

1) Запоминаем IP юзера
2) После 3-х неверных попыток делаем задержку для входа с этого IP в 30 сек
4) После последующих попыток задержка удваивается
5) Пользователю присылаем уведомление о попытке входа в его аккаунт

Обратите внимание, что задержка активируется именно для этого IP. То есть если злоумышленник пытается подобрать пароль - у него ничего не получится, т.к будут бешеные задержки. В то же время владелец аккаунта спокойно сможет зайти в аккаунт и увидеть, что кто-то пытался войти в аккаунт.

Нормальный вариант? Как думаете? Есть ли способы лучше?

Конечно, в идеале это вход по SMS, но этот вариант пока не рассматривается.

Заранее выражаю огромную благодарность всем, кто поможет!

Answer 1

[Владимир Дубровин]

Все очень зависит от того, что за сервис вы разрабатываете, как и кем он будет использоваться и что в нем есть интересного для брутфорсера. Пока ваш сервис не имеет большой пользовательской базы и не особо интересен атакующим и его брутят только стандартные боты-краулеры которые ищут доски объявлений, будет работать все что угодно, в том числе и простые рейтлимиты, как вы предлагаете и капчи. Если у вас популярный сервис с большой и разнообразной пользовательской базой, то окажется что с одного IP могут ходить и хорошие пользователи и плохие, помимо прямого брута (по паролю) бывает обратный (с одним паролем по разным пользователям), что пользователи очень не любят капчи (а иногда и физически не имеют возможности их ввести, например из-за плохого зрения или дальтонизма) и т.д. В таких случаях защита от брутфорса требует более интеллектуальных подходов и вряд ли вам о деталях их реализации кто-то подробно расскажет.

Answer 2

[Сергей Котов]

придумай свою уникальную капчу

Answer 3

[Stalker_RED]

Добавьте в форму csrf токен, чобы ограничить xss и нельзя было просто спамить post-запросами не получив заранее форму.

Помимо задержки можно еще и капчу показывать.

Задержка 30 секунд с самого старта - немножко перебор, т.к. три ошибки не сложно и руками сделать (не та раскладка, капслок). Я бы начал с десяти, например.

Счетчик попыток не только для ip но и для логина, потому что могут брутить целевого юзера с разных ip.

А вообще да, вы повторно изобретаете то, что уже давно существует и на уровне методологии и в виде программных продуктов.

Comments

[JackShcherbakov]

Счетчик попыток не только для ip но и для логина, потому что могут брутить целевого юзера с разных ip.

Я тоже так сначала подумал. Но позже понял, что это неверно. Смотрите, вот злоумышленник довел логин до задержки в 2 часа. И тут жертва пытается зайти под нормальным паролем. А на логине задержка! Надо сделать так, чтобы только у злоумышленника была задержка, а жертва могла спокойно зайти.

По поводу 10 попыток - согласен. В иделае собрать статистику, с какой попытки обычно пользователи входят.

А вообще да, вы повторно изобретаете то, что уже давно существует и на уровне методологии и в виде программных продуктов.

Готовые решения тоже принимаются. Но мне просто самому стало интересно как это вообще делается, и возможно самому попробовать.

[Stalker_RED]

JackShcherbakov,
До двух часов доводить никакого смысла нет, даже при 30 секундах будет меньше 3000 попыток в сутки. Минут пять максимум (это 288 попыток в сутки).

Ну и плашку на форме логина, типа "сорри, тебя брутят, включен таймер, смотри почту", а там письмо со ссылкой на вход без таймера, смену парля, и все такое.

Готовые решения тоже принимаются.

ну fail2ban уже упоминали, он пожалуй самый известный. Хотя и не идеальный.

[profesor08]

JackShcherbakov,

Я тоже так сначала подумал. Но позже понял, что это неверно. Смотрите, вот злоумышленник довел логин до задержки в 2 часа. И тут жертва пытается зайти под нормальным паролем. А на логине задержка!

юзер вводит правильный логин и пароль, и его впускает, игнорируй задержку.

Answer 4

[rogiivs]

зачем тебе давать 30 сек передержки? просто отправляй письмо восстановления на почту и все, с предупреждением тип, если это были не вы поменяйте пароль на более сложный. Или просто создай статистику сессий на сайте для юзеров. и выдавай токен при каждой авторизации.

Comments

[АртемЪ]

Ага и пользователям при каждой попытке подобрать пароль будет сыпаться на почту спам.

[dollar]

Ага, и брут пароля по пользователям заставит всех пользователей восстанавливаться. Плюс пользователь под брутом будет практически забанет, даже если брут из Китая.

Answer 5

[Владимир Куц]

fail2ban

Answer 6

[MoksS]

Как вариант, если у тебя регистрация по почте, то после нескольких неудачных попыток входа на сайт, отправлять пользователю уведомление на почту, дальше заморозка аккаунта/смена пароля, либо просто ссылка для того, чтобы пользователь снова смог авторизоваться и дать новые куки/токен. Люди предлагали выше поставить капчу, даже если и обходится, все равно будет лишний барьер, и не каждый захочет с ним бороться и тратить на него время.

Answer 7

[Алексей Ступеньков]

Сделайте брутфорс для атакующего дорогим и не выгодным. Например, вычисляйте что-то хитрое в течении пары секунд на javascript и используйте в форме ввода.

Answer 8

[d-stream]

Обратите внимание, что задержка активируется именно для этого IP. То есть если злоумышленник пытается подобрать пароль - у него ничего не получится, т.к будут бешеные задержки. В то же время владелец аккаунта спокойно сможет зайти в аккаунт и увидеть, что кто-то пытался войти в аккаунт.

Современные боты сканят с достаточно большого диапазона адресов (например ботсеть) и соответственно в логах будет всего по одному отлупу…

Answer 9

[Евгений Оксенчук]

как вариант, если от взламывающих приложений, можешь поставить input type="hidden", реальный пользователь не увидит этого поля, а вот приложение будет туда писать, и если там что то есть, то сразу блокировать его, это как еще один вариант от взломов

Comments

[Sanes]

В type=hidden уже никто не пишет. Если хотите скрыть, то лучше средствами CSS/HTML

[Евгений Оксенчук]

отстал я) капча лучше)

[Volodimir Babeshko]

Евгений Оксенчук, каптча не лучше, Ваш вариант тоже отличный, только не тайп хайден, а сковывать через цсс, как Sanes предложил, у нас подобная система стояла очень долго, резало спам на 99 процентов, убрали ее после обновления движка (спама очень мало, а использовалось именно для защиты от спама, поэтому решили не делать)

Answer 10

[АртемЪ]

Нормальный вариант? Как думаете? Есть ли способы лучше?

Да. Это общепринятый стандартный вариант который решает данную задачу.
Минус этого способа в том что блокируется IP а это может быть выходной шлюз крупного провайдера с которого ходят тысячи пользователей.

Если есть необходимость его можно комбинировать с другими способами, но в большинстве случаев его достаточно.
Вообще по ресурсу надо смотреть. Например можно делать небольшую задержку в пять секунд уже со второй попытки - и пользователя не напрягает и перебор существенно замедляет. А через пять неуспешных еще и капчу добавить.

Можно вести статистику по IP и если с него много попыток авторизации, но ни одной успешной - в бан его на некоторое время. Собственно fail2ban похоже работает.

Comments

[JackShcherbakov]

Спасибо за ответ. Слушайте, а кроме IP интересно еще как-то можно юзера запомнить? Сессии и куки тут сразу отпадают - элементарно обойти скриптами.

[Захар Кущенко]

JackShcherbakov, fingerprint

Answer 11

[Евгений Педя]

Определитесь с зонами ответственности.
Админка одно, а публичный доступ другое.
Определитесь с требованиями к паролю и ограничьте доступ к админке только с определённых IP.

Далее чётко дайте знать пользователю, что его пароль - это его ответственность.

Добавьте двух факторную авторизацию.

Если начинают ломать, то брутфорс - это только один из подходов.