Formularz - metoda słownikowa

pytanie zadane 10 lipca 2017 w Bezpieczeństwo, hacking przez Spektral Początkujący (410 p.)

Witam.
Chciałbym zabezpieczyć swój formularz przed złamaniem hasła metodą słownikową. Znam takie sposoby:
a) ustawienie opóźnienia przy wprowadzeniu danych,
b) blokada konta po 3-krotnym błędnym podaniu danych logowania
c) po 3-krotnym błędnym podaniu danych logowania, wyświetlenie reCaptche.

Sposoby a) i b) mnie nie satysfakcjonuje. Spróbowałem wykonać podpunkt c):

session_start();
	
	if(!isset($_SESSION['error']))
	{
		$_SESSION['i'] = 0;
		unset($_SESSION['recaptcha']);
	}
	else
	{
		$_SESSION['i'] = $_SESSION['i'] +1;
		if($_SESSION['i'] > 3)
		{
			$_SESSION['recaptcha'] = true;
		}
	}

I teraz rodzi się moje pytanie:
Czy hacker może czyścić zmienne sesyjne przy "każdym przebiegu pętli łamiącej", co skutkowałoby tym, że nigdy reCaptche się nie wyświetli?
Czy jest coś takiego możliwe ? Jak się przed tym zabezpieczyć?

Z góry dziękuje za pomoc!
Pozdrawiam!

2 odpowiedzi

odpowiedź 10 lipca 2017 przez Arkadiusz Waluk Ekspert (287,950 p.)

Czy hacker może czyścić zmienne sesyjne przy "każdym przebiegu pętli łamiącej", co skutkowałoby tym, że nigdy reCaptche się nie wyświetli?

Wystarczy, że wyczyści ciasteczka (a konkretniej ciasteczko z identyfikatorem sesji) i po sprawie, powstanie nowa sesja.

Jak się przed tym zabezpieczyć?

Obawiam się, że w 100% skuteczny sposób nie istnieje... Możesz to weryfikować po IP i gdzieś u siebie zapisywać, tyle że IP łatwo zmienić (proxy, VPNy, zmienne IP po prostu od dostawcy). Poza tym, za jednym IP może się kryć wiele urządzeń/osób. Jest local storage w przeglądarce, ale też można go łatwo wyczyścić. Możesz sprawdzić jakieś dane przeglądarki, np. wersję, silnik i nazwę (tzw. user agent), ale to też idzie łatwo zmienić i jest powtarzalne. Były też jakieś biblioteki, umożliwiające identyfikację przeglądarki poprzez odczytanie jakichś ustawień i innych rzeczy (browser fingerprint to się chyba ogólnie nazywało), ale i to nie jest gwarancją bezpieczeństwa.

Także moim zdaniem możesz co najwyżej utrudniać życie łącząc te wszystkie rzeczy w jakiś sposób. I pewnie jakąś część osób to powstrzyma, ale trzeba też uważać, aby za mocno nie utrudnić życia przypadkowym użytkownikom. Żadnego pewnego zabezpieczenia nie znam.

komentarz 10 lipca 2017 przez CzikaCarry Szeryf (75,340 p.)

Albo walnąć reCaptcha przy każdej próbie logowania i bruteforce słownikiem będzie musiał wykonywać człowiek a nie bot :)

komentarz 10 lipca 2017 przez Arkadiusz Waluk Ekspert (287,950 p.)

Pytanie tylko na ile ta captcha jest bezpieczna :) A po pewnych własnych doświadczeniach mogę stwierdzić, że chyba przeciętnie, ale może nie będę publicznie opisywał szczegółów :p