Здравствуйте. Есть ли готовые решения как на php защищаться от попыток подбора пароля?
Т.е. если несколько раз для конкретного логина разный пароль введен и этому IP не отвечать больше какое-то время. Интересует именно защита из скрипта, а не серверные решения. Заренее благодарен за информацию.

Используй шифрование пароля методом md5, т.е. для пароля узнаешь хэш:

Код

<? $pass = "testing"; $pass = md5($pass); $f = fopen("pass.dat"); fwrite($f,$pass); fclose($f); ?>

и проверка

Код

<? $pass = $_POST['user_password'];//введеный пароль $h = md5($pass); $f = file("pass.dat"); if($h != $f[0] ) exit("Vrong password"); else exit("OK"); ?>

Это сообщение отредактировал(а) Dr.Death - 12.5.2004, 16:28

По-моему, это вопрос "как реализовать временный бан по IP?".
Логику
"
>> если несколько раз для конкретного логина разный пароль введен,
то временно баним по IP
"
можно реализовать самому.

Сразу отвечаю насчет того, почему предлагаю md5, потому что его очень сложно расшифровать, практически невозможно.

Перебора чего?

Можно сделать HTTP-аудификацию, а можно написать форму и отправлять данные через неё.

Народ, ну Вы что тут вообще? Читать не умеете что человек пишет? Надо реализовать защиту от перебора пароля, ввел неверно три раза пароль (или сколько в настройках стоит), он тебя банит и больше не дает подбирать проль.

Цитата

он тебя банит и больше не дает подбирать пароль

В зависимости от контекста задачи, можно и всех банить, т.к. злоумышленник может коннектиться и через проксю(кажд. раз через разную)
ЗЫ: Это я так в общем случае

Это сообщение отредактировал(а) stron - 12.5.2004, 21:30

Цитата

т.к. злоумышленник может коннектиться и через проксю(кажд. раз через разную)

Врядли, скорость перебора тогда никакая, как говорится до "китайской пасхи"...

Самое лучшее проверять IP, ищем в базе IP. Если запись есть, а время XX до вычёркивания не прошло отключаем дальнейшую проверку.

Иначе: Проверяем переменную подключение, если больше максимального кол. подключений за время XX, то отрубаем IP и заносим в базу IP с указанием текущего времени. При этом обнулим переменную. Иначе: Переменная++. Проверка подключения! Если вс окё то переменная=0(на твоё усмотрение)
Добавлено @ 11:26
Можно конечно и куки использовать но их легко снести! А если прога домашнего набора, то вней укажут об сносе куков (покрайней мере я бы сделал так)

Всем спасибо за советы. Но неужели ни у кого не вставло такой задачи и нет примера готового решения в виде отдельного скрипта, который можно несколько изменив включить в свой проект? Как это может правильно называться? Хочу пример поискать в бесплатных скриптах.
Кстати, а какой программой можно попробовать как это делают? Чем, вообще, можно проверить на вшивость свои скрипты. Xspider меня как-то не убеждает, уж слишком примитивная там проверка или нужен платный вариант?

У меня есть почти готовый вариант. Но я его не могу дать, так как он коммерческий А если покажу ту часть которая отвечает за проверку, это тебе не о чем не скажет... ООП рулит

Самый разумный выход, на мой взгляд, после трех неправильных попыток блокировать доступ на 5 минут и ограничивать доступ только с определенного IP или подсети.

AlexVN в принципе, согласен с тобой.
А еще есть один метод, который я применяю сам, про него я упоминал у себя на сайте в цикле статей по защите скриптов на PHP.
А все очнь просто, проще некуда.
Пишем по среди самой авторизации, напрмер

sleep(3);

и все, тут даже ИП не поможет - ограничение ниже 20 комбинаций в минуту... даже при 200 в секунду по словарю можно сутки ковырять... а тут...

метод, конечно не супер и не в коем случае не притендует на роль надежного (в часности из-за многопоточности...), но все же лучше чем ничего.

Цитата(Sardar @ 12.5.2004, 23:42)

Цитата т.к. злоумышленник может коннектиться и через проксю(кажд. раз через разную) Врядли, скорость перебора тогда никакая, как говорится до "китайской пасхи"...

Большинство прог-брутфорсеров умеют работать со списками прокси, так что банить на сегодняшний день вообще нет никакого смысла.

Я встречал пару готовых решений, но они платные.

Обмануть брутфорсеров можно так - при неуспешной авторизации выдавать 200 Ок и динамичную html-страницу с сообщением об ошибке. Тогда программа каждый раз будет считатьь, что пароль подошёл.
Самый эффективный способ - это встроить в форму авторизации динамично генерируемую графическую надпись, которую пользователь должен ввести кроме логина и пароля. Пока не существует программ, позволяющих распознавать образы на уровне человеческого разума и этот способ даст 100% защиту от брутфорса. Но вообще-то, кроме брутфорса существуют сотни других, более критичных уязвимостей.

Цитата

Самый эффективный способ - это встроить в форму авторизации динамично генерируемую графическую надпись, которую пользователь должен ввести кроме логина и пароля.

Точняк! Как я сам не додумался...

Я как-то писал на Perl сайт с администрированием. На страничке административного входа была форма, состоящая из двух текстовых полей(логин, пароль), одного выпадающего меню (секретный цвет) и, конечно же, кнопки Submit.
Так как вход предназначен только для администратора и мне не хотелось бы чтобы кто-нибудь получил пароль доступа , я решил написать такой вариант защиты от брутфорса:

1. Если никаких параметров не передано, скрипт генерит форму.


2.
a.) Если получены параметры, то сверяем логин, пароль и цвет. Если хоть что-нибудь не совпало, то открываем текстовый файл и записываем туда 1 ( при каждой последующей неудачной попытке, просто инкерементируем число в файле). Затем сверяем число с тем, которое было указано в настройках в переменной. Если числа равны, то прога генерирует случайную строку (из 150 символов), затем записывает эту строку в файл, где хранилось число попыток и затем переименовывает сама себя, при этом изменяя права доступа на саму себя chmod 0600. Новое имя и есть ранее сгенеринная строка (которую мы записали в файл).
b.) Если всё верно, то переходим на нужную страничку, которая в свою очередь проверяет откуда были переданы параметры. Если параметры переданы не с нашего скрипта, тогда генерим ошибку. Если с нашего, то всё нормально и прога приветствует администратора.

3. Затем написал ещё один маленький скрипт ( не CGI ). Его задачей было проверить файл где мы храним кол-во неверных попыток входа.
a.) Если в файле записано не число, то сверяем время последнего изменения файла и текущее время. Если timeout ( который мы установили в фале конфигурации ) истёк, значит программа выдёргивает из этого файла новое имя нашего первого скрипта. После переименовывает наш первый скрипт в его нормальное имя и меняет права доступа.
б.) Если в файле оказалось число и timeout истёк, обнуляем число в фале где хранилось кол-во неудачных попыток. Если же timeout не истёк и в файле число, то просто завершаем работу скрипта.

Второй скрипт запускался из cron'a. Если cron не доступен, значит придётся время от времени запускать его ручками.

Ну вот, вроде всё. Но такой вариант подойдёт только для странички входа админа.
Преимущество в том, что мы имеем самоисчезающие ворота. Для взломщика самое худшее, когда, на его глазах, дверь исчезает. ;)
Недостаток - скрипт на время становится не доступен.

Удачи.

Это сообщение отредактировал(а) korob2001 - 19.5.2004, 14:11

А если использовать проверку нажата ли кнопка submit с таким-то именем. Если да то проверяет значения, если нет то выкидывает. Как думаете подойдет это?

а как пользователь узнает какое имя нужно нажать?

Нет ты не понял!

.....
<input type="submit" name="ok" value="Старт">
......


Вот и в файле идет проверка:
if(@$ok)
{
......
}
else
{
echo "Защита";
}

а лучше в name сделать типа что-то date() на минуты в md5 и будет проверка. Я думаю вы меня поняли.

Тоесть если в этот год в этот месяц и в этот день и в этот час и в эту минуты была нажата кнопка то все путем.

Промохнуться можно только тогда, когда пользоваетль нажал на кнопку в 59 секунд а попал туда в 60 секунд тоесть прошла минута.

так я тебе соченю хттп запрост так, что скрипт не отличит нажал я кнопку или это моя программа прислала запрос

А через сессию как-нить можно защититься тогда?

нет.
можно генерировать картинку или цвет или слово, запоминать её в бд, а потом проверять.