Закрыть
Скидки в Webasyst 25–29 ноября 2021

ДВУХФАКТОРНАЯ авторизация, на аккаунты с доступом в админку.

0

Полностью спрятать, а лучше заменить позорный

  • Одноразовый пароль (код из 4 цифр)

на двухфакторную авторизацию, как у нормальных сервисов типа Гугл, Амазон, именно на вход в админку, а вернее на аккаунты, которые имеют хоть какие-то привелегии, то включить двухфакторную авторизацию, ну или хотя бы разрешить вход таким аккаунтам, только через админ панель, где она и должна быть включена.

Ранее где-то тут писали про эту дырень, но ничего, как вижу не изменилось. Может я конечно что-то не увидел, я очень не внимательный и мне это свойственно тупить и т.п., тогда пожалуйста покажите, как это включить? (вроде установлены все самые свежие обновления на 8 версию)

Потому что обращу ваше внимание, что Гугл и серьезные сервисы делают ДВУХКРАТНУЮ аунтификацию, где используют, как правило 4 или 6 цифр приходящих на мыло или телефон при втором фильтре. Там сделана ОДНОКРАТНАЯ из 4 цифр! Как еще проще объяснить не понимаю, это понять и увидеть должно быть  еще проще, чем алгоритм пузырьком. То вообще о каких алгоритмах можно говорить, если пропустили такое на здравую логику.

Просто зная только адрес админки и мыла любого аккаунта с администраторскими правами, сайт может быть скомпрометирован, ручным подбором пароля из 4 цифр в течении нескольких часов, а если подключить соксы и скрипты... просто заходим в админку. 

 

8 комментариев

  • +1
    Алексей Алексей Webasyst 15 декабря 2019 18:38 #

    1. Одноразовый пароль опционально можете включить самостоятельно, он не выбран по умолчанию. Можете использовать постоянный пароль, созданный внешним генератором на 30-50 символов.
    2. Ниже вы также можете включить reCaptcha для входа в бекенд.

    Вы можете изменить таймаут с 60 до 10 секунд. И каждые 10 секунд будет формироваться новый одноразовый пароль.
    Кто-то из партнеров даже создавал авторизацию в бекенд по соц.сетям, поэтому можете также создать на нужном проекте.

  • +3

    Не проще и короче было написать про ограничение попыток ввода: 3 попытками и жизнью кода 5 минут. Для параноиков можно вывести эти значения в админке, чтобы меняли длину пароля, попытки и жизнь в секундах на своё усмотрение. А то 5 параграфов воды и самолюбования. 

  • +1

    500 соксов на день ничего не стоят

    каждый раз вводим придположим из скрипта с разных адресов 

    одну цифру "2345" и только ее

    Примерно через 20 попыток человек будет в админке

    Да, хоть 5 секунд, при таком бруте - наподобие алгоритма каждый раз делим на пополам, только немного наоборот. Большой сетью  прямо в одну точку долбим рано или поздно мы в админке. При 500 хостах 20 попыток, при 1000 будет 10 и т.д.

    Дырыща

  • +1

    P.S.

     Еще более простыми словами объясню, просто кто-то "услышал звон", да не понял где он.

    Внедрив из Двухэтапной аунтификации предположим того же Гугла или Сбера, ее половину и превратив в однократную. Причем без первой ее части, где человек вводит с начало свой реальный пароль(а уже потом приходят 4 или 6 цифр), эта опция вообще теряет свой смысл в ноль.

  • +1
    Nikolai Nikolai 18 декабря 2019 08:49 #

    Однократная авторизация гораздо удобнее двухфакторной, тут я согласен с разработчиками.

    Клиентам не нужно заморачиваться, вводить пароль сначала, который они наверняка не помнят.

    Другое дело, что нужно ограничить количество попыток подбора например на 3-5, после чего менять его и высылать заново. И сделать таймаут нарастающим, т.е. сначала раз в 60 секунд отправка (не чаще), следующий уже 120, следующий 240 и т.д. А то какой-нить брутфорс съест все смс бюджеты =). Капча гугл тоже не помешает.

  • +2

    Я бы хотел промолчать, но 


    С сегодняшнего дня, я поменял свое мнение за которое яростно топил, по поводу политики найма программистов на работу крупными компаниями аля, Гугл, Сбер, Фейсбук и т.п., что они спрашивают алгоритмы или хотя бы их понимание и умение построить элементарные на уровне начальной школы. Топил о том, что это хрень не нужная и по факту она вряд ли когда пригодится на работе, ведь все нужные функции уже проработаны, все оптимальные  алгоритмы уже в них заложены, но теперь я с ними согласен... И более того гнать таких надо метлой - это не программисты...

     Уже один раз тут допустил схожую ошибку и топил внедрения в SS и в дефолтные темы ленивую подгрузку изображений и webp формат, все расписал, как надо сделать и почему так должно быть, на пике тренда. Ну и конечно хоть все заминусовали и в движок само собой по умолчанию - это не было внедрено, по совести, как должно. Зато идею и собранную инфу тут же подхватили другие разработчики и все реализовали в плагинах и судя по продажам в отличии накрученной минусовки, спрос на это огромен, а следовательно сообщество по факту было не согласно со мнением накруток. Нужно было молчать, самому реализовать плагины и неплохо поднять бабла минимум на пол ляма на чей-то лени.

    Но данная ситуация вообще из ряда вон выходящая.

    Говорят, дыра, показывают пальцем, но нужно еще все разжевать, потому что построить элементарный школьный алгоритм 2+2 - это слишком сложная задача. Получается, судя из  тестов крупных компаний, тут нет программистов.

    1) В ручную к админке  пароли редко кто подбирает, 99% это брут сетью.

    2) Комбинаций паролей в данном случае на ОДИН раз может быть максимум 9999 Округляем до (10000) Чтобы Вам было проще считать, а то мозг еще не выдержит.

    3) Возьмем маленькую стандартную сеточку IP на брут в 500 ip адресов(прокси, соксы, ssh и.т.п)

    4) Посчитаем, сколько итераций с такой сетью нужно выполнить, чтобы покрыть все комбинации.

    10000 делим на 500 - получается всего 20 попыток.

    5) Далее запускаем алгоритм по формуле не в одну цифру, чтобы в 20 этих попыток, пробежать по всем цифрам этой сетью из 500 IP, то есть на первый до последнего IP, будут вводится цифры

    1 ip - 0000, 0001,......., 0018, 0019

    2 ip - 0020, 0021,......., 0038, 0039

    ..........

    499 ip - 9960, 9961,......., 9978, 9979

    500 ip - 9980, 9981,......., 9998, 9999

    Где-то за 27 дней по формуле, если умножить на 2.

    Если ее не будет, то моментально.

    Но даже по формуле умножить на два каждый раз это все равно, какой-то П....ц

    , то есть берем 500 потоков с сетью в 1000 проксей

    и заходим в админку против Вашей формулы, каждый раз умножить на два 

    где-то 17 часов

    Но скорее всего проксей будет больше.

     

    • +1
      Nikolai Nikolai 18 декабря 2019 12:16 #

      Я думаю, также можно подобрать 4хзначный код для открытия всей информации по заказу без авторизации, если salt, по которой ссылка генерируется, одинаковый для всех магазинов Webasyst и там нет ограничений на количество попыток.

      Добавить комментарий

      Чтобы добавить комментарий, зарегистрируйтесь или войдите