Ayrıca, uygun yetki olmadan bir hesaba erişmenin yolları olarak sözlük saldırılarını daha az etkili hale getirdiğini de kabul ediyorum. Ancak:
Bu yaklaşım, sözlük saldırısını sisteme karşı DOS saldırısına dönüştürebilir ve kötü uygulandığında erişimi önleyebilir. Örneğin, bir sunucu kimlik doğrulama girişimleriyle sular altında kalabilir. Bunun bir yolu, kimlik doğrulama hizmetinin kilitli bir hesaba sonraki erişimlerin akışını denetlemesidir. Örneğin, bir hesap kilitliyse, sonraki her giriş denemesinden önce bir gecikme gösterin. Ancak, bir giriş denemesi ile erişim reddedildi arasında bir gecikme olabilir, bu da bir saldırganın aynı anda birçok kimlik doğrulama girişimini başlattığı dağıtılmış bir hizmet reddi saldırısına kapıyı açık tutar.
Diğer cevapta belirtildiği gibi, bu da saldırıya uğrayan hesabın yasal sahibine karşı sözlük saldırısını ham DOS'a dönüştürebilir. Meşru sahibin etkisini azaltmanın yolları şunlardır:
- Kullanıcı adı mı yoksa yanlış şifre mi olduğuna dair hiçbir ipucu vermeyerek kullanıcı adlarında bir çalışmayı yavaşlatma. Bu, suçlunun kullanıcı adlarını yöneticiler tarafından daha görünür ve daha az etkili olduğunu tahmin ettiği saldırıları yapar.
- Sabit sayıda başarısız denemeden sonra bir hesabı kilitlemek yerine, yalnızca bu kimlik doğrulama modunu kilitleyin. Başka bir deyişle, hesabı saldırıya uğrayan bir kullanıcının farklı bir (muhtemelen daha ilgili, ancak daha az kolayca saldırıya uğrayan) bir yöntemle kimlik doğrulaması yapmasını isteyin. İyi bir örnek, bir Android telefonun bir kullanıcının ekran kilidini açma düzeni veya PIN'i kullanarak kimlik doğrulaması yapamadıktan sonra Google Giriş bilgilerini nasıl kullanmasını gerektireceğidir. Teorik olarak, bu saldırıya uğramış bir kullanıcının hesaplarının kilidinin açılmasını istemesini gerektirir, ancak sistem yöneticisinin derhal müdahalesini gerektirmez.
- Bunun yerine bir hesap aşağı kilitleme - arasından kimlik girişimlerine aşağı kilidi (veya kimlik doğrulama bu özel mod için bir hesap kilitleyerek ek olarak yukarı bakınız) bir yer saldırı kaynak olduğunu. Örneğin, kimlik doğrulaması bir kullanıcı adı ve parola ile ağ üzerinden yapılırsa, üç başarısız kimlik doğrulama girişiminden sonra aynı IP veya alt ağdaki kullanıcıların bir kullanıcı adı veya parola ile giriş yapmasını önleyebilirsiniz. Birden fazla kullanıcının (saldırgan dahil) aynı IP veya alt ağı kullanma şansının yüksek olduğu durumlarda, yalnızca IP veya alt ağ için kullanıcı adı / şifre kimlik doğrulamasını belirli bir süre için devre dışı bırakabilir ve masum için daha fazla ilgili kimlik doğrulama yöntemlerini açık bırakabilirsiniz. saldırganın yakınında bulunan kullanıcılar .
Korkunuz yanlışlıkla unutulmuş bir kullanıcıyı saldırganmış gibi cezalandırıyorsa, sabit sayıda başarısız denemeden sonra başarısız giriş denemelerinin akışını kontrol etmek yerine, bir hesabın saldırıya uğradığının kanıtı olarak giriş denemelerinin sıklığını kullanabilirsiniz. Örneğin, bir saniye içinde 10 kimlik doğrulama denemesi görürseniz, benzer kimlik doğrulama girişimlerini önlemek için yukarıdaki yöntemlerden birini kullanabilirsiniz. Alternatif olarak, bu hızlı giriş denemeleri akışını kontrol etmeye başlamak için bir sinyal olarak kullanabilirsiniz. Bu yöntem forumlarda gittikçe daha popüler hale gelirken, belirli bir IP'den belirli sayıda başarısız giriş denemesinden sonra, bu IP'nin kısa bir süre için kimlik doğrulaması önlenir.
Son olarak, bir kullanıcının bir DOS saldırısı tarafından tekrar tekrar hedeflenmesini önlemenin iyi bir yolu, hem şifresini hem de kullanıcı adını sıfırlamasına izin vermektir . Başka bir deyişle, hem kullanıcı adını hem de şifreyi sır olarak kabul edin. Kullanıcı adının başka bir yerde kullanıldığı yerlerde (örneğin, bir forumda, kullanıcı adı kullanıcının görünen adı ise), bu görünen adı ayrı bir şey olarak ele almanız yeterlidir. Bu yaklaşım genellikle kimlik doğrulamasında kullanılan kullanıcı adının kişinin e-posta adresi olduğu, değiştirilebilen ancak nadiren paylaşıldığı bir şey olduğu halde, sitede kullanılan görünen adın kullanıcı tanımlı olabilecek veya olmayabilecek bir şey olduğu sosyal ağlar tarafından kullanılır. değiştirilebilir.
Her neyse, umarım bu yaklaşımların bir ya da bir kısmı işe yarayacaktır.