Informatika és tudomány

  • sonicXX
    #8
    Az egyik legjobb védelmi eljárás az, ha a bejelentkezési kísérletek közt időkorlát van. Béluska félregépeli a jelszavát, 15 másodpercig nem tud újra próbálkozni. Ehhez captcha nem kell, a legtöbb ember pedig többnyire elsőre belép. Kiegészíthető captcha-val de majdnem felesleges. A bruteforce és dictionary típusú támadásokat alaposan megnehezíti. És ki lehet egészíteni remekül. Például több hiba nagyobb időkorlát: először csak 15, aztán 20, aztán 25 másodperc és így tovább. Az X-ik (általában 3, 4, vagy 5-ik) próbálkozás után jöhet captcha, azután a felhasználói azonosító tiltása fél vagy egy napra. Erre még rá lehet tenni azzal, hogy a captcha is variálható: képes, találós kérdéses, betűzött matematikai, milyen állat van a képen (SÜN! :D) és társai. Szélsőségesebb esetben a létező legböngésző-specifikusabb JavaScript dialektust használva generálni a beviteli űrlapot és ezzel még a szerveroldali JS értelmezőket is egész barátságosan meg lehet szivatni anélkül, hogy a felhasználó ebből bármit is érzékelne. És tovább is lehet fokozni, de minek.

    A captcha jó ötlet, de pettyet túl van értékelve. Volt olyan alig látogatott oldalam amin az akkoriban elterjedt reCAPTCHA nevű megoldást alkalmaztam, fél év múlva minden nap 2-3 botos regisztrációt kellett törölnöm mígnem arra jutottam hogy leveszem a captcha-t és minden regisztrációt kézzel hagyunk jóvá. Nem volt kedvem és nem is érte volna meg ennél tovább cifráni.

    Mindegy, nem ragozom tovább nagyon, a captcha önmagában csak a felhasználó életét nehezíti meg ma. A legbiztonságosabb a kikapcsolt számítógép - bár ha hálózatra van kötve, bizonyos esetekben ez se 100% (macera, de lásd pl. WOL). A bekapcsolást követő minden másodpercben fokozatosan nő a biztonsági kockázat és mire a felhasználó eljut a bejelentkező képernyőig rendszertől függően 20-30%-ra is emelkedhet. És ekkor még be sem lépett. A legtöbb biztonsági elemző abban is egyetért, hogy a legsúlyosabb biztonsági kockázatot a felhasználó jelenti - de ebbe már tényleg nem megyek bele, mert annak a vége szociológia lenne, ahhoz meg aztán végképp nem értek.