[Owasp-turkey] anti-brute force algoritmalariniz?

Bedirhan Urgun bedirhanurgun at gmail.com
Fri Jul 29 04:38:25 EDT 2011


merhaba,
asagidaki senaryo ve istenenlere gore yaziliminizda nasil bir algoritma
gelistirirdiniz?

*Senaryo:*
* Client-server uygulamasinin (klasik web uygulamasi olmayabilir) kimlik
dogrulama ekraninda username/password aliniyor.
* Bir username icin X defa yanlis password girilirse hesap kilitleme
(lockout) politikasi var.
* http*s* kullaniliyor.
* Yanlis kimlik dogrulama sonrasi hata mesaji genel bir mesaj (orn: username
veya sifre hatali).
* Muhtemel usernameleri bulmak zor degil.

*Istenenler:*
* Username ve sifre brute force saldirilarina karsi onlemler alinmak
isteniyor;
  ** username sabit, sifre degisken
  ** username degisken, sifre sabit
* bulk sekilde hesap kilitleme saldirilarina karsi onlemler alinmak
isteniyor.
 * Ilk giriste CAPTCHA cikmasi istenmiyor. Kullaniciyi kaciriyor cunku... :)
* OTP gibi cozumler uygulama icin hantal geliyor.

*Ek Not:*
* Eger yukarida istenenler icinde "captcha kullanilmamalidir" maddesi
olsaydi, algoritmaniz nasil olurdu?

bedirhan
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110729/0114c8f6/attachment.html 


More information about the Owasp-turkey mailing list