為什麼這篇暴力破解密碼程式鄉民發文收入到精華區:因為在暴力破解密碼程式這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者treeman12 (樹人)看板PttCurrent標題[建議] 從IP偵測防止暴力破解密碼盜帳...
因為目前的登入系統沒有 密碼連續輸入錯誤 後的 時間冷卻機制
所以可以使用機器人 暴力破解密碼法 來偷取帳號
最近利用這種方法來取得帳號的情況變多了
最近案例:
https://imgur.com/a/gMtoDXx
https://www.ptt.cc/bbs/Gossiping/M.1587016080.A.FEA.html
https://www.ptt.cc/bbs/Gossiping/M.1585808577.A.F1F.html
https://www.ptt.cc/bbs/Gossiping/M.1585355997.A.144.html
https://www.ptt.cc/bbs/Gossiping/M.1583539671.A.678.html
因為 Ptt 密碼長度有上限,使用者沒辦法使用長一點的密碼加強安全性
如果又不常上站的話,
可能因為一二個禮拜沒上線就被暴力破解密碼而失去帳號了
我的建議是
從該帳號的錯誤登入記錄去限制 同一個IP 同一天可以登入同一個帳號的次數
來降底 暴力破解法 的成功性
例子:
[04/01/2020 20:39:56 Wed] 36.231.14.178
[04/01/2020 20:39:56 Wed] 36.231.14.178
[04/01/2020 20:39:56 Wed] 36.231.14.178
[04/02/2020 09:24:04 Thu] 74.71.135.109
[04/02/2020 09:24:05 Thu] 74.71.135.109
[04/02/2020 09:24:06 Thu] 74.71.135.109
如果 36.231.14.178 已經同一天在同一個帳號輸入密碼錯誤10次了
要等到隔一天才能再嘗試輸入密碼
用這方法來限制 盜帳號的人一天可試幾次
來提高 暴力破解密碼 的難度和時間成本
而程式設計難度方面
因為只要使用原本就已經有儲存的錯誤登錄資料來做驗證
所以不會需要大量的工作時間來完成這項安全機制
希望站方在限制新帳號申請的同時
也保護目前帳號持有者的帳號安全性
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.160.99 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PttCurrent/M.1587171436.A.E3B.html
→ treeman12: 不確定這文該發在哪,而PttSuggest沒版主了 所以發在這 04/18 09:00
→ treeman12: 希望這個想法可以對站管和使用者都有益 04/18 09:01
推 holishing: PttSuggest 版都是站務在看,左上角有沒有版主ID沒差 06/13 16:01
推 IepID: 但是這樣無法避免用同一密碼試不同賬號。 12/11 23:37