Читаем Защита веб-приложений полностью

При очередной неудачной попытке опросите табличку на предмет ранее зарегистрированных попыток в течение тех самых трёх минут. В этом примере видно, что пора блокировать на некоторое время логин admin, чтобы пресечь дальнейший перебор.

Жестоко? Ничуть. Как сказал один мой коллега: «Не можешь ввести пароль за пять попыток – иди проспись». Весьма метко. Только представьте себе человека, которому пять попыток ввода пароля не принесли успеха. В таком состоянии он сам может стать угрозой. А если он забыл пароль, будет время попытаться вспомнить, спокойно и неторопливо.

Это не идеальный вариант, так как злоумышленник может догадаться намеренно производить попытки входа и тем самым по сути блокировать возможность входа хозяина логина.

Против распределённого перебора паролей с разных компьютеров поможет ограничение количества неудачных входов в единицу времени с одного IP. При нарушении на время блокируется связка IP-логин. Это заодно решает проблему с намеренной блокировкой логина: самое страшное, что может случится после блокировки – admin не сможет войти в течение пяти минут всего лишь на одном компьютере.

Против использования прокси-серверов для перебора паролей поможет ограничение на количество неудачных входов при наличии в запросе заголовков, характерных для прокси. В этом случае следует временно заблокировать возможность произвести попытку входа с любого прокси.

Вряд ли можно найти столько быстрых и анонимных проксей (особенно таких, которые полностью скрывают факт проксирования), чтобы прорвать эту защиту (не говоря уже о ее сочетании с временной задержкой и блокировкой логина).

При вводе или смене пароля проверяйте его на слабость. Прежде всего недопустим пустой пароль. Помимо традиционного пробивания по словарю я советую самостоятельно дописать специфические проверки под ваше приложение в зависимости от заполняемых пользователем полей при регистрации. Итак, пользователь вводит о себе какую-то информацию. Система не должна позволить ему задать себе пароль, равный логину, имени, фамилии, дате рождения в вариациях формата (то есть если введена дата рождения 05.10.1992, то пароль не должен быть таким: ”05.10.92“, ”05/10/92“, ”05-10-92“, ”051092“, ”1992“ и так далее), номеру телефона или ICQ, городу и тому подобное. Эту информацию часто можно легко найти на других сайтах и форумах в профиле и попробовать в качестве пароля.

Пример простой проверки слабого пароля. Несмотря на банальность, поможет избежать установку слишком простых паролей, которые просты настолько, что их можно угадать даже случайно.

При смене пароля обязательно всегда спрашивайте текущий. В случае, когда сеанс перехвачен (например, пользователь забыл завершить сеанс, а за компьютер сел другой человек), злоумышленник не сможет сменить пароль без знания текущего. Позволять задавать пароль без знания текущего можно позволять только администратору на случай, если пользователь забыл свой пароль и можно удостовериться, что это действительно его учетная запись.

Для параноиков также можно проверить совпадение без учета регистра, в транслите, в другой раскладке, без пробелов, сочетание полей или их укороченные версии от 1 символа до полной длины.

Развивая тему алгоритмов проверки пароля на слабость, можно дополнить предыдущий пример функции совсем уж маньячными проверками. Например, так:

Если подобные ограничения кажутся вам слишком жестокими, не запрещайте устанавливать такой пароль, но все-таки проверьте его подобным образом, предупредите пользователя о том, что его пароль слишком простой, его не трудно угадать/подобрать, и рекомендуйте усложнить пароль.