Fork me on GitHub

用户密码暴力破解攻击分析和解决

简介

暴力破解或称为穷举法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。理论上利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人辅以字典来缩小密码组合的范围。

怎样检测暴力破解攻击?

暴力破解攻击是通过巨大的尝试次数获得一定成功率的的。因此在web(应用程序)日志上,你会经常发现有很多的登录失败条目,而且这些条目的IP地址通常还是同个IP地址。有时你又会发现不同的IP地址会使用同一个账户、不同的密码进行登录。

简单理解为:短时间同一个ip或者用户名,进行大量的登录操作。

怎样防御暴力破解攻击?

预防暴力破解可以通过以下几个方面解决,提供系统的安全性。

用户登录失败次数限制

可以通过用户名限制用户登录失败的次数,例如:用户一个小时内连续登录失败5次,那么就锁定当前用户,禁止此用户名继续登录,可以通过管理员手动解锁或者一个小时候自动解锁。

图形验证码

增加验证码拦截器,验证码验证成功后才能请求到登录接口。

为了保证客户友好的体验性,可以在用户输错密码3次后,再显示验证码信息。

保证验证码必须一次有效,不能重复使用,使用一次后,必须清空session中的验证码信息。

IP次数限制

后端设置阀值,检查同一IP在某一时间段是否超出阀值设置,如果超出说明非正常请求,限制IP用户操作或者加入IP黑名单。

例如:设置5分钟内同一IP不能超过100次登录请求,如果检测到这个ip登录超过阀值,就把这个IP限制了。

密码强度

增加密码的强度,尽量使用复杂的密码数字、字母或特殊字符组合的密码

密码定期修改

可以增加密码定期修改功能,避免密码长时间未修改导致隐患。

例如:3个月或者一年必须修改密码。

FallSea wechat
欢迎您扫一扫上面的微信公众号,订阅我的博客!
坚持原创技术分享,您的支持将鼓励我继续创作!