NetSago
Вход
Войти

Как присоединиться?
Меню
Главная
События
 Заметки
Статьи
Теги
Поиск
О Проекте
Ссылки
Наше
RSS События по RSS
RSS Заметки по RSS
netsago NetSago
Популярное
Руководство по получению прибыли от Свободных и Открытых Проектов by Джон Эндрюс

Настройка ядра с помощью sysctl by n0xi0uzz

Заметки — Мысли о хорошей системе авторизации
Назад в Заметки

Мысли о хорошей системе авторизации
57uff3r



Теги: авторизация



1.Храните пароли исключительно в захешированном виде.
2.Для хеширования оптимально применять MD5. Он работает медленее чем DES, что увеличивает время, необходимое на раскрытие исходной строки.
3.Захешировав пароль 2-3 раза подряд, вы значительно усложните жизнь взломщику.
4.Принудительное увеличение длины пароля (например, путем приписывания к исходному паролю ещё одной псевдослучайной строки) создаст дополнительные сложности при переборе. Конечно, если дополнительная строка не станет известна взломщику.

5.Проверяйте введённый пароль на сложность. Оптимальный вариант - 7 - 12 символов букв различных регистров и цифр. Мало кто сможет дождаться окончания перебора, а таблицы есть ещё далеко не для всех строк.
6.Защититься от тупого перебора через веб интерфейс просто - достаточно блокировать аккаунт на 3 секунды после каждого ввода пароля. Взломщик сможет перебирать не более 20 строк в минуту.
7.На время сессии, запускайте контроль IP. Рекомендация устаревшая, но сколько разработчиков уже прокололось на этом.
8.А если пользователь и взломщик пришли через один прокси? Надо считать ещё и контрольную сумму для строки USER_AGENT. И сравнивать при каждом действии в защищенной зоне сайта. Простой и нехитрый прием, который отгоняет 80% взломщиков.
9.Галочку "запомнить меня" делайте только в крайнем случае. Какой бы не была надежной защита в скриптах - клиенты уязвимы и могут выдать свою конфиденциальную информацию вместе с куками.
10.Внимательно ознакомтесь с документацией по адресу http://ha.ckers.org/xss.html. И не допускайте такого! Хотя, не так то это и просто. XSS и немного СИ могут выманивать пароли не хуже, чем взлом БД.
Язык
English/Английский
Поиск
Расширенный Поиск
Ошиблись?
Если вы обнаружили ошибку на сайте, пожалуйста, сообщите нам о ней.
Посчитали
0 / 0
К нам сегодня роботы не заходили, человеки могут быть спокойны.

Зарегистрированных пользователей: 0
Онлайн: 0

Время генерации: 0.010 с
NetSago.v2.β © [2006;∞)  Neunica