Эта тема создана в связи с этим вопросом: http://wmmail.ru/index.php?cf=otvet-viewvopros&vid=44314
Кратко: пользователя пытались взломать, но система не блокировала его попытки. За секунду подбиралось несколько паролей, что значит задействование программы.
В связи с этим есть такие предложения:
1) Блокировка по IP на некоторое время при N попытках подобрать пароль.
2) Блокировка не только IP (т.к. его можно легко сменить), но и по браузеру (отправить cookie 'block', например). Если пользователь сменит IP, но куки не удалит, то у него будет сообщение о невозможности ввести логин и пароль N кол-во минут или часов.
3) Вывод капчи при N попытках подобрать пароль.
4) Вывод капчи при вводе логина и пароля всегда.
Для тех, кто в танке:
Идея не моя, а собраная в одну с коментов вопроса, ссылка на который вверху темы.
Голосуйте! Может Админ сделает доп. защиту, кроме пароля для операций =)
Ну и зачем тогда что-то усложнять?
По идее на сайтах с подобной авторизацией должен быть в некотором роде пункт 1 предложенный тобой, причем некоторое время - минуты, после чего тебе позволят авторизовываться, но не позволят авторизоваться.
Данные авторизации принимаются успешно, но только для того, чтобы зафиксировать их на соответствующей странице. В аккаунт тебе не попасть даже если ты правильно наберешь пароль.
да третье не помешает...
я ещё добавил бы пятый пункт: отправлять на кипер и почту письмецо после, допустим, пяти не правильных попытках и блокировать доступ к аккаунту на сутки
Вот пример: какой нить юзер выпил чуть лишку, др там у него или еще какая болячка))), решил поделиться этим с миром, несколько раз неправильно ввел пароль и вы ему предлагаете распознавать еще и капчу? Я трезвым то иногда ее не могу прочесть. А если этот выпивший индивид захочет халяву раздать, то совсем халявщикам горе)))
Уже давно надо было сделать защиту по IP (как на вебмани): я добавляю свои диапазоны с которых я могу входить в акк и включаю защиту. после этого с других IP зайти низя даже если введен верно логин и пароль. А если с этого IP еще и неправильно ввели логин-пароль, то он ваще должен блокироваться на некоторое время. Вероятность того, что меня будут ломать именно с моего диапазона IP очень маленькая. А все эти "дополнительные защиты" от админа с помощью пароля для операций очень неудобны для тех кто 20-30 раз в день входит в акк и чистит куки. Это больше похоже на отмазку: у тя не включена была дополнительная защита - значит со взломомм твоего акка я разбираться не буду...
Все это малоэффективно.
1) Айпи можно легко сменить, а кукис в "браузере программы" можно очистить еще легче.
2)Капчу тоже можно обойти путем смены айпи.
Хотя, можно сделать принудительным ввод капчи после двух неудачных попыток войти в аккаунт, "привязывая" капчу к аккаунту, а не к айпи или кукису.
3) При каждом входе вводить капчу не очень приятно, согласитесь.
Предложение от меня:
После 5-10 неудачных попыток войти в аккаунт, заблокировать его на 15-30 минут, чтобы даже с правильным паролем было невозможно осуществить вход.
Также можно ввести капчу после 2-3 неудачных попыток входа в аккаунт и привязать ее к аккаунту, а не к айпи или кукисам, как я уже говорил.
не выключайте имеющуюся систему безопасности. А то сколько бы новшеств вы не добавили, при таком подходе вас все равно будут пытаться взломать.
Спасение утопающих - дело рук самих утопающих!
У меня включена , куки чищу, вхожу раз 100 в день и что? У меня не просят пароль для операций, притом ай-пи еще и динамический!
P/S/ Еще раз перечитал тему, ну бред полнейший ....
Как в магазине
"мама, хочу мороженое"
Ну бери
"мама, хочу мороженое , как у той девочки"
Сынок но оно было последнее
А я хочу ТАКОЕ мороженое!!!
3 пункт более удобен, но взломать все равно возможно!
Был случай, когда злоумышленник получил доступ к киперу и спокойно опустошил аккаунт.
---------
Капча - неплохо, но меня она иногда бесит!!!
---------
Используй СУПЕРПАРОЛЬ(или пароль для операций. Все не запомню его истинное называние) и будет все норм
Береженого бог бережет, говорила монашка, одевая презерватив на огурец......
Это уже паранойя ...
Того, что есть вполне достаточно
и никакой админ не поможет, если человек отключает пароль для операций и ставит пароль вида qwerty или 12345
может добавить в профиле функцию " Вход через WMlogin"
Кто хочет тот может включать эту функцию и авторизироваться на сайте только при помощи своего кипера
Нафиг не надо. Если работала программа, то явно был брутфорс. На данный момент он в большинстве случаев бесполезен. Да и к тому же, возьмем, например, брут ает - там можно список прокси серверов добавить и на каждую попытку будет меняться ип. Вот и все.
И зачем тогда пароль для операций? Если он стоит, то взлома не будет напрямик, а только косвенно. Взломав кипер, никакая твоя капча тут не поможет. КОРОЧЕ ГОВОРЯ - БРЕД.
Как человек переживший недавно и взлом акка, и восемь попыток взлома кипера, и в последующем, блок акка, думается, что имею право высказаться по этому вопросу.
Ай пи тут ничего не значит...
Скорее всего это хакеры работают, которые имеют доступ к админской базе данных...
На это указывает то, с какой легкостью пал и пароль к акку, смененный накануне, и пароль для операций, и пароль на кипере. Взломщик не учел только одного: то что у меня стоит е-ним, и то, что с 17.02. Вебмани заблокировали кошель, требуя персональный аттестат....
Почитал. Понял, что все так или иначе не равнодушны к капче. Тогда надо сделать её как в заданиях, на усмотрение владельца аккаунта. Кто в неё верит, поставит галочку "показывать капчу после трёх неверных вводов пароля", кто не верит или кому будет мешать, просто не будет её активировать. Думаю, так эта доп. защита акка устроит всех.
Еще предложите блок по железу
Ну для чего, скажите мне пароль для операций?У меня тоже были такие "попытки взлома", более того, взломщик пытался до меня еще таким способом донести, что он обо мне думает Но на почтовике, где почти для каждого задания нужно менять айпи, сделать блок по айпи...Это куча выброшенного времени в никуда.