„Brute force“ atakos

Pažeidžiamos kompiuterinės sistemos ir programos:

Tinklalapių turinio valdymo sistemos (TVS), el. paštas ir kitos viešai prieinamos informacinės sistemos

Aprašymas:

"Brute force" atakos - tai bandymai atspėti vartotojo prisijungimo duomenis prie informacinės sistemos, įvedinėjant atsitiktines simbolių sekas ir dažnai naudojamas kombinacijas. Tam naudojami įvairūs programiniai įrankiai, kurie, priklausomai nuo sistemos apsaugos lygio, suteikia galimybę atlikti iki kelių tūkstančių spėjimų per minutę. Įsibrauti į sistemą yra paprasta, jeigu žinomas jos prisijungimo adresas, o sugalvotas paskyros slaptažodis yra nesudėtingas arba labai panašus į prisijungimo vardą.

CERT-LT rekomenduoja:

  • Naudoti sudėtingus slaptažodžius, kuriuos sudarytų atsitiktinės didžiosios bei mažosios raidės ir skaičiai;
  • slaptažodyje nenaudoti savo gimimo metų, vardo, pavardės, slapyvardžio ar kitų su savimi susijusių ir kitiems žinomų, lengvai atspėjamų žodžių;
  • prisijungimo puslapiui nenaudoti populiarių adresų (/admin, /cms, /wp-admin ir t.t.);
  • naudoti CAPTCHA paveikslėlius, siekiant išvengti automatizuotų atakų;
  • nustatyti, kad prie tinklalapių TVS būtų galima jungtis tik iš vidinio įmonės tinklo arba nustatytų IP adresų (pvz. naudojant .htaccess failą);
  • nustatyti maksimalų nepavykusių prisijungimų kiekį per tam tikrą laiko intervalą, po kurio būtų laikinai išjungta galimybė prisijungti spėliojančiojo IP adresui arba laikinai užblokuota paskyra, prie kurios bandoma prisijungti.
Jeigu nurodyti problemos sprendimo būdai Jums atrodo per sudėtingi, siūlome kreiptis į specialistą.

Visos rekomendacijos