Здравствуйте. Есть ли готовые решения как на php защищаться от попыток подбора пароля?
Т.е. если несколько раз для конкретного логина разный пароль введен и этому IP не отвечать больше какое-то время. Интересует именно защита из скрипта, а не серверные решения. Заренее благодарен за информацию.

Используй шифрование пароля методом md5, т.е. для пароля узнаешь хэш:

Код

<? $pass = "testing"; $pass = md5($pass); $f = fopen("pass.dat"); fwrite($f,$pass); fclose($f); ?>

и проверка

Код

<? $pass = $_POST['user_password'];//введеный пароль $h = md5($pass); $f = file("pass.dat"); if($h != $f[0] ) exit("Vrong password"); else exit("OK"); ?>

Это сообщение отредактировал(а) Dr.Death - 12.5.2004, 16:28

По-моему, это вопрос "как реализовать временный бан по IP?".
Логику
"
>> если несколько раз для конкретного логина разный пароль введен,
то временно баним по IP
"
можно реализовать самому.

Сразу отвечаю насчет того, почему предлагаю md5, потому что его очень сложно расшифровать, практически невозможно.

Перебора чего?

Можно сделать HTTP-аудификацию, а можно написать форму и отправлять данные через неё.

Народ, ну Вы что тут вообще? Читать не умеете что человек пишет? Надо реализовать защиту от перебора пароля, ввел неверно три раза пароль (или сколько в настройках стоит), он тебя банит и больше не дает подбирать проль.

Цитата

он тебя банит и больше не дает подбирать пароль

В зависимости от контекста задачи, можно и всех банить, т.к. злоумышленник может коннектиться и через проксю(кажд. раз через разную)
ЗЫ: Это я так в общем случае

Это сообщение отредактировал(а) stron - 12.5.2004, 21:30

Цитата

т.к. злоумышленник может коннектиться и через проксю(кажд. раз через разную)

Врядли, скорость перебора тогда никакая, как говорится до "китайской пасхи"...

Самое лучшее проверять IP, ищем в базе IP. Если запись есть, а время XX до вычёркивания не прошло отключаем дальнейшую проверку.

Иначе: Проверяем переменную подключение, если больше максимального кол. подключений за время XX, то отрубаем IP и заносим в базу IP с указанием текущего времени. При этом обнулим переменную. Иначе: Переменная++. Проверка подключения! Если вс окё то переменная=0(на твоё усмотрение)
Добавлено @ 11:26
Можно конечно и куки использовать но их легко снести! А если прога домашнего набора, то вней укажут об сносе куков (покрайней мере я бы сделал так)

Всем спасибо за советы. Но неужели ни у кого не вставло такой задачи и нет примера готового решения в виде отдельного скрипта, который можно несколько изменив включить в свой проект? Как это может правильно называться? Хочу пример поискать в бесплатных скриптах.
Кстати, а какой программой можно попробовать как это делают? Чем, вообще, можно проверить на вшивость свои скрипты. Xspider меня как-то не убеждает, уж слишком примитивная там проверка или нужен платный вариант?

У меня есть почти готовый вариант. Но я его не могу дать, так как он коммерческий А если покажу ту часть которая отвечает за проверку, это тебе не о чем не скажет... ООП рулит

Самый разумный выход, на мой взгляд, после трех неправильных попыток блокировать доступ на 5 минут и ограничивать доступ только с определенного IP или подсети.

AlexVN в принципе, согласен с тобой.
А еще есть один метод, который я применяю сам, про него я упоминал у себя на сайте в цикле статей по защите скриптов на PHP.
А все очнь просто, проще некуда.
Пишем по среди самой авторизации, напрмер

sleep(3);

и все, тут даже ИП не поможет - ограничение ниже 20 комбинаций в минуту... даже при 200 в секунду по словарю можно сутки ковырять... а тут...

метод, конечно не супер и не в коем случае не притендует на роль надежного (в часности из-за многопоточности...), но все же лучше чем ничего.

Цитата(Sardar @ 12.5.2004, 23:42)

Цитата т.к. злоумышленник может коннектиться и через проксю(кажд. раз через разную) Врядли, скорость перебора тогда никакая, как говорится до "китайской пасхи"...

Большинство прог-брутфорсеров умеют работать со списками прокси, так что банить на сегодняшний день вообще нет никакого смысла.

Я встречал пару готовых решений, но они платные.

Обмануть брутфорсеров можно так - при неуспешной авторизации выдавать 200 Ок и динамичную html-страницу с сообщением об ошибке. Тогда программа каждый раз будет считатьь, что пароль подошёл.
Самый эффективный способ - это встроить в форму авторизации динамично генерируемую графическую надпись, которую пользователь должен ввести кроме логина и пароля. Пока не существует программ, позволяющих распознавать образы на уровне человеческого разума и этот способ даст 100% защиту от брутфорса. Но вообще-то, кроме брутфорса существуют сотни других, более критичных уязвимостей.

Цитата

Самый эффективный способ - это встроить в форму авторизации динамично генерируемую графическую надпись, которую пользователь должен ввести кроме логина и пароля.

Точняк! Как я сам не додумался...