ДВУХФАКТОРНАЯ авторизация, на аккаунты с доступом в админку.
Полностью спрятать, а лучше заменить позорный
- Одноразовый пароль (код из 4 цифр)
на двухфакторную авторизацию, как у нормальных сервисов типа Гугл, Амазон, именно на вход в админку, а вернее на аккаунты, которые имеют хоть какие-то привелегии, то включить двухфакторную авторизацию, ну или хотя бы разрешить вход таким аккаунтам, только через админ панель, где она и должна быть включена.
Ранее где-то тут писали про эту дырень, но ничего, как вижу не изменилось. Может я конечно что-то не увидел, я очень не внимательный и мне это свойственно тупить и т.п., тогда пожалуйста покажите, как это включить? (вроде установлены все самые свежие обновления на 8 версию)
Потому что обращу ваше внимание, что Гугл и серьезные сервисы делают ДВУХКРАТНУЮ аунтификацию, где используют, как правило 4 или 6 цифр приходящих на мыло или телефон при втором фильтре. Там сделана ОДНОКРАТНАЯ из 4 цифр! Как еще проще объяснить не понимаю, это понять и увидеть должно быть еще проще, чем алгоритм пузырьком. То вообще о каких алгоритмах можно говорить, если пропустили такое на здравую логику.
Просто зная только адрес админки и мыла любого аккаунта с администраторскими правами, сайт может быть скомпрометирован, ручным подбором пароля из 4 цифр в течении нескольких часов, а если подключить соксы и скрипты... просто заходим в админку.
8 комментариев
1. Одноразовый пароль опционально можете включить самостоятельно, он не выбран по умолчанию. Можете использовать постоянный пароль, созданный внешним генератором на 30-50 символов.
2. Ниже вы также можете включить reCaptcha для входа в бекенд.
Вы можете изменить таймаут с 60 до 10 секунд. И каждые 10 секунд будет формироваться новый одноразовый пароль.
Кто-то из партнеров даже создавал авторизацию в бекенд по соц.сетям, поэтому можете также создать на нужном проекте.
То есть это тест на сообразительность Ваших пользователей хотите сказать? Браво. Я не раз слышал про фразу - "медвежья услуга", походу эта опция - это как раз именно оно?
Не проще и короче было написать про ограничение попыток ввода: 3 попытками и жизнью кода 5 минут. Для параноиков можно вывести эти значения в админке, чтобы меняли длину пароля, попытки и жизнь в секундах на своё усмотрение. А то 5 параграфов воды и самолюбования.
500 соксов на день ничего не стоят
каждый раз вводим придположим из скрипта с разных адресов
одну цифру "2345" и только ее
Примерно через 20 попыток человек будет в админке
Да, хоть 5 секунд, при таком бруте - наподобие алгоритма каждый раз делим на пополам, только немного наоборот. Большой сетью прямо в одну точку долбим рано или поздно мы в админке. При 500 хостах 20 попыток, при 1000 будет 10 и т.д.
Дырыща
P.S.
Еще более простыми словами объясню, просто кто-то "услышал звон", да не понял где он.
Внедрив из Двухэтапной аунтификации предположим того же Гугла или Сбера, ее половину и превратив в однократную. Причем без первой ее части, где человек вводит с начало свой реальный пароль(а уже потом приходят 4 или 6 цифр), эта опция вообще теряет свой смысл в ноль.
Однократная авторизация гораздо удобнее двухфакторной, тут я согласен с разработчиками.
Клиентам не нужно заморачиваться, вводить пароль сначала, который они наверняка не помнят.
Другое дело, что нужно ограничить количество попыток подбора например на 3-5, после чего менять его и высылать заново. И сделать таймаут нарастающим, т.е. сначала раз в 60 секунд отправка (не чаще), следующий уже 120, следующий 240 и т.д. А то какой-нить брутфорс съест все смс бюджеты =). Капча гугл тоже не помешает.
Я бы хотел промолчать, но
С сегодняшнего дня, я поменял свое мнение за которое яростно топил, по поводу политики найма программистов на работу крупными компаниями аля, Гугл, Сбер, Фейсбук и т.п., что они спрашивают алгоритмы или хотя бы их понимание и умение построить элементарные на уровне начальной школы. Топил о том, что это хрень не нужная и по факту она вряд ли когда пригодится на работе, ведь все нужные функции уже проработаны, все оптимальные алгоритмы уже в них заложены, но теперь я с ними согласен... И более того гнать таких надо метлой - это не программисты...
Уже один раз тут допустил схожую ошибку и топил внедрения в SS и в дефолтные темы ленивую подгрузку изображений и webp формат, все расписал, как надо сделать и почему так должно быть, на пике тренда. Ну и конечно хоть все заминусовали и в движок само собой по умолчанию - это не было внедрено, по совести, как должно. Зато идею и собранную инфу тут же подхватили другие разработчики и все реализовали в плагинах и судя по продажам в отличии накрученной минусовки, спрос на это огромен, а следовательно сообщество по факту было не согласно со мнением накруток. Нужно было молчать, самому реализовать плагины и неплохо поднять бабла минимум на пол ляма на чей-то лени.
Но данная ситуация вообще из ряда вон выходящая.
Говорят, дыра, показывают пальцем, но нужно еще все разжевать, потому что построить элементарный школьный алгоритм 2+2 - это слишком сложная задача. Получается, судя из тестов крупных компаний, тут нет программистов.
1) В ручную к админке пароли редко кто подбирает, 99% это брут сетью.
2) Комбинаций паролей в данном случае на ОДИН раз может быть максимум 9999 Округляем до (10000) Чтобы Вам было проще считать, а то мозг еще не выдержит.
3) Возьмем маленькую стандартную сеточку IP на брут в 500 ip адресов(прокси, соксы, ssh и.т.п)
4) Посчитаем, сколько итераций с такой сетью нужно выполнить, чтобы покрыть все комбинации.
10000 делим на 500 - получается всего 20 попыток.
5) Далее запускаем алгоритм по формуле не в одну цифру, чтобы в 20 этих попыток, пробежать по всем цифрам этой сетью из 500 IP, то есть на первый до последнего IP, будут вводится цифры
1 ip - 0000, 0001,......., 0018, 0019
2 ip - 0020, 0021,......., 0038, 0039
..........
499 ip - 9960, 9961,......., 9978, 9979
500 ip - 9980, 9981,......., 9998, 9999
Где-то за 27 дней по формуле, если умножить на 2.
Если ее не будет, то моментально.
Но даже по формуле умножить на два каждый раз это все равно, какой-то П....ц
, то есть берем 500 потоков с сетью в 1000 проксей
и заходим в админку против Вашей формулы, каждый раз умножить на два
где-то 17 часов
Но скорее всего проксей будет больше.
Я думаю, также можно подобрать 4хзначный код для открытия всей информации по заказу без авторизации, если salt, по которой ссылка генерируется, одинаковый для всех магазинов Webasyst и там нет ограничений на количество попыток.