| Author | Message |
|---|
Libroom
Член клуба The eBook
Joined: 10 Jun 2003
Posts: 23551
| | Posted: 19.10.2010 07:20 | |
| В форуме произошел первый случай, когда хакнули конкретного пользователя. Человек писал сообщения, злоумышленники подобрали пароль и вместо его сообщений вписали порнографический спам.
Уважаемые дамы и господа! Ваш пароль не должен быть простым и коротким. Он должен содержать цифры, буквы и быть не короче 8 символов... как минимум.
Пароли 123456 хакаются на раз! Никому никогда не сообщайте свой пароль, даже мне. Он нужен только вам и никому более. Письма якобы от меня с просьбой указать пароль тоже обман! Мне ваш пароль никогда не нужен! Запомните!
Хакнутый пользователь забанен.
_________________
еБукъ 207 |
|
| | |
AndyN
Член клуба The eBook
Joined: 01 Mar 2008
Posts: 33351
Location: Киев
| | Posted: 19.10.2010 09:36 | |
| Libroom
А есть возможность у администратора сменить пароль в таком случае?
Возможно, человек просто не разлогинился, что там по IP видно 
_________________
История читалок: в профиле
pb602 |
|
| | |
Libroom
Член клуба The eBook
Joined: 10 Jun 2003
Posts: 23551
| | Posted: 19.10.2010 10:12 | |
| Есть такая возможность, но у администратора нет возможности узнать тот ли человек обращается за помощью, поэтому я никогда не лезу в настройки пользователя, никогда не высылаю новых паролей, никогда их не меняю. Меня же тоже можно обмануть. Поэтому соблюдаю некоторые правила безопасности по отношению к пользователям.
_________________
еБукъ 207 |
|
| | |
AndyN
Член клуба The eBook
Joined: 01 Mar 2008
Posts: 33351
Location: Киев
| | Posted: 19.10.2010 10:17 | |
| | Libroom wrote: | | но у администратора нет возможности узнать тот ли человек обращается за помощью |
Ну, это понятно - это отдельная тема.
Можно, допустим - встретиться на ебуковке - и показать документы 
_________________
История читалок: в профиле
pb602 |
|
| | |
Charter
Член клуба The eBook
Joined: 29 May 2009
Posts: 50538
Location: Украина
| | Posted: 19.10.2010 10:31 | |
| | AndyN wrote: | | допустим - встретиться на ебуковке - и показать документы |
Libroom в Москве, а юсер в Джезказгане 
_________________
PB 301+!!! sw.14.2,
PB 611, Boyue T62 |
|
| | |
AndyN
Член клуба The eBook
Joined: 01 Mar 2008
Posts: 33351
Location: Киев
| | Posted: 19.10.2010 10:32 | |
| | Charter wrote: | | юсер в Джезказгане |
Гланое - желание и техническая возможность, а уж пути решения проблемы найдутся.
_________________
История читалок: в профиле
pb602 |
|
| | |
Charter
Член клуба The eBook
Joined: 29 May 2009
Posts: 50538
Location: Украина
| | Posted: 19.10.2010 10:36 | |
| | AndyN wrote: | | Гланое - желание |
Даже имея желание, в Москву, чтобы показать документы Libroomу не поеду
_________________
PB 301+!!! sw.14.2,
PB 611, Boyue T62 |
|
| | |
AndyN
Член клуба The eBook
Joined: 01 Mar 2008
Posts: 33351
Location: Киев
| | Posted: 19.10.2010 10:40 | |
| | Charter wrote: | | имея желание, в Москву, чтобы показать документы Libroomу |
можно отсканировать, провести голосовую идентификацию, идентификацию через знакомого в Москве и т.п.
_________________
История читалок: в профиле
pb602 |
|
| | |
vag
Бывалый участник форума
Joined: 15 Dec 2009
Posts: 130
| | Posted: 19.10.2010 12:23 | |
| Может не стоит изобретать велосипеда? 
Или данный форум единственный в мире, который подвержен такой опастности?
Личная встреча для "восстановления" - это что-то из ряда вон Как в надежном швейцарском банке ..
Да и в этом случае всегда есть "лазейки".
Существуют весьма практичные и отработаные схемы сильно затрудняющие брутфорс (конечно, если пользователь использует пароль "123" или сообщает его "на лево и направо", то ни одни технические средства не уберегут его от утечки).
Классические меры (Есть готовые решения, не требующие больших сил и времени для их реализации на phpBB движках):
- фильтр форума (скрипт) не допускающий простых паролей (ограничение на длину и его состав).
- ввод символов с картинки - предохраняет от автоматического брутфорса. Причем, есть варианты, когда картинка появляется только после первого неудачного ввода пароля (это не будет напрягать тех, кто точно знает свой (или чужой) пароль , но создаст сложности при подборе)
- блокирование аккауна на 30 минут после 3..5 неудачных попыток залогинится - это резко снижает число вариантов перебора в единицу времени (например 10 попыток в час).
Однако взломать аккаунт можно и "штатно", например, получив доступ к e-mail пользователя (часто это совсем не сложно, особенно на публичных почтовиках и/или у нерадивых пользователей с простыми и/или однотипными (универсальными) паролями) и "совершенно честно" запросить восстановление пароля.
Есть в движках известные и к сожалению, неизвестные "дыры", которые необходимо оперативно "латать". Для это необходимо следить за соответствующими темеми в профильных форумах и техподдержке движка.
Ну и естественно - профилактика в "головах" пользователей.. - т.е. подобные темы с напоминанием о том, что в нашем цифровом мире все не так безопастно..
P.S.
Данный форум врядли можно считать потенциально интересным для угона аккаунтов - не тот "вес" у аккаунодержателя. В отличии от какого-нибудь рутрекера или eBay, например - где за "просто аккаунтом" чаще всего скрываются рейтинги и пр., т.е. то, что действительно можно (есть смысл) "угнать и пользовать"...
Следовательно и меры по борьбе с "угонщиками" можно применять не столь "драконовские" (но и пускать "на произвол судьбы" данный вопрос тоже не стоит).
_________________
PocketBook 301 plus |
|
| | |
