Author | Message |
---|
Libroom Член клуба The eBook
Joined: 10 Jun 2003 Posts: 23551
| Posted: 19.10.2010 07:20 | |
| В форуме произошел первый случай, когда хакнули конкретного пользователя. Человек писал сообщения, злоумышленники подобрали пароль и вместо его сообщений вписали порнографический спам.
Уважаемые дамы и господа! Ваш пароль не должен быть простым и коротким. Он должен содержать цифры, буквы и быть не короче 8 символов... как минимум.
Пароли 123456 хакаются на раз! Никому никогда не сообщайте свой пароль, даже мне. Он нужен только вам и никому более. Письма якобы от меня с просьбой указать пароль тоже обман! Мне ваш пароль никогда не нужен! Запомните!
Хакнутый пользователь забанен. _________________ еБукъ 207 |
|
| |
AndyN Член клуба The eBook
Joined: 01 Mar 2008 Posts: 33351
Location: Киев
| Posted: 19.10.2010 09:36 | |
| Libroom А есть возможность у администратора сменить пароль в таком случае? Возможно, человек просто не разлогинился, что там по IP видно _________________ История читалок: в профиле pb602 |
|
| |
Libroom Член клуба The eBook
Joined: 10 Jun 2003 Posts: 23551
| Posted: 19.10.2010 10:12 | |
| Есть такая возможность, но у администратора нет возможности узнать тот ли человек обращается за помощью, поэтому я никогда не лезу в настройки пользователя, никогда не высылаю новых паролей, никогда их не меняю. Меня же тоже можно обмануть. Поэтому соблюдаю некоторые правила безопасности по отношению к пользователям. _________________ еБукъ 207 |
|
| |
AndyN Член клуба The eBook
Joined: 01 Mar 2008 Posts: 33351
Location: Киев
| Posted: 19.10.2010 10:17 | |
| Libroom wrote: | но у администратора нет возможности узнать тот ли человек обращается за помощью |
Ну, это понятно - это отдельная тема. Можно, допустим - встретиться на ебуковке - и показать документы _________________ История читалок: в профиле pb602 |
|
| |
Charter Член клуба The eBook
Joined: 29 May 2009 Posts: 50538
Location: Украина
| Posted: 19.10.2010 10:31 | |
| AndyN wrote: | допустим - встретиться на ебуковке - и показать документы |
Libroom в Москве, а юсер в Джезказгане _________________ PB 301+!!! sw.14.2, PB 611, Boyue T62 |
|
| |
AndyN Член клуба The eBook
Joined: 01 Mar 2008 Posts: 33351
Location: Киев
| Posted: 19.10.2010 10:32 | |
| Charter wrote: | юсер в Джезказгане |
Гланое - желание и техническая возможность, а уж пути решения проблемы найдутся. _________________ История читалок: в профиле pb602 |
|
| |
Charter Член клуба The eBook
Joined: 29 May 2009 Posts: 50538
Location: Украина
| Posted: 19.10.2010 10:36 | |
| AndyN wrote: | Гланое - желание |
Даже имея желание, в Москву, чтобы показать документы Libroomу не поеду _________________ PB 301+!!! sw.14.2, PB 611, Boyue T62 |
|
| |
AndyN Член клуба The eBook
Joined: 01 Mar 2008 Posts: 33351
Location: Киев
| Posted: 19.10.2010 10:40 | |
| Charter wrote: | имея желание, в Москву, чтобы показать документы Libroomу |
можно отсканировать, провести голосовую идентификацию, идентификацию через знакомого в Москве и т.п. _________________ История читалок: в профиле pb602 |
|
| |
vag Бывалый участник форума
Joined: 15 Dec 2009 Posts: 130
| Posted: 19.10.2010 12:23 | |
| Может не стоит изобретать велосипеда? Или данный форум единственный в мире, который подвержен такой опастности? Личная встреча для "восстановления" - это что-то из ряда вон Как в надежном швейцарском банке .. Да и в этом случае всегда есть "лазейки".
Существуют весьма практичные и отработаные схемы сильно затрудняющие брутфорс (конечно, если пользователь использует пароль "123" или сообщает его "на лево и направо", то ни одни технические средства не уберегут его от утечки).
Классические меры (Есть готовые решения, не требующие больших сил и времени для их реализации на phpBB движках): - фильтр форума (скрипт) не допускающий простых паролей (ограничение на длину и его состав). - ввод символов с картинки - предохраняет от автоматического брутфорса. Причем, есть варианты, когда картинка появляется только после первого неудачного ввода пароля (это не будет напрягать тех, кто точно знает свой (или чужой) пароль , но создаст сложности при подборе) - блокирование аккауна на 30 минут после 3..5 неудачных попыток залогинится - это резко снижает число вариантов перебора в единицу времени (например 10 попыток в час).
Однако взломать аккаунт можно и "штатно", например, получив доступ к e-mail пользователя (часто это совсем не сложно, особенно на публичных почтовиках и/или у нерадивых пользователей с простыми и/или однотипными (универсальными) паролями) и "совершенно честно" запросить восстановление пароля. Есть в движках известные и к сожалению, неизвестные "дыры", которые необходимо оперативно "латать". Для это необходимо следить за соответствующими темеми в профильных форумах и техподдержке движка.
Ну и естественно - профилактика в "головах" пользователей.. - т.е. подобные темы с напоминанием о том, что в нашем цифровом мире все не так безопастно..
P.S. Данный форум врядли можно считать потенциально интересным для угона аккаунтов - не тот "вес" у аккаунодержателя. В отличии от какого-нибудь рутрекера или eBay, например - где за "просто аккаунтом" чаще всего скрываются рейтинги и пр., т.е. то, что действительно можно (есть смысл) "угнать и пользовать"... Следовательно и меры по борьбе с "угонщиками" можно применять не столь "драконовские" (но и пускать "на произвол судьбы" данный вопрос тоже не стоит). _________________ PocketBook 301 plus |
|
| |