Citat:
Originalno napisao dinke
Ma daj, i bez toga broj mogucih kombinacija za normalan pass je dovoljno veliki da nijedan script ne moze da ga provali brute force attackom.
|
i ne napadaju se brute force, napadaju se pomocu dictionary-ja, ceste kombinacije tipa ime + par cifri i sl, ime-cifra-ime i sl. Cak i jako duge sifre se jako lako provale ako koriste poznatu rec. Tako da si onda osudjen da imas random sifre teske za kucanje, koje ces morati da zapises ili snimis negde, sto je potencijalna rupa...
A sa druge strane ako je baza utf8, zaste ne bi recimo otkucao sifru laku za pamcenje na cirilici (ili tamilskom pismu nebitno), tebi je to jednostavno, a skripta ce ga tesko provaliti
Takodje, ne postoji dobar nacin da se branis od provaljivanja sifri osim da privremeno blokiras accounte nakon par gresaka. Ali kod velikih sistema onda imas drugi problem, da haker moze da napada vise accounta istovremeno. Ti blokiras jedan na sat vremena, on predje na sledeci, i tako u krug, pa kroz sat vremena nastavi sa onim prvim. Ako pokrene takav napad preko Tora ili anonimnih proxija, ne mozes ni da ga blokiras po IP-ju...
ako pretpostavimo da nema neki sistem koji alarmira admina na veliki broj pogresnih logina(a mislim da vecina nema), onda ce napadac da ima par dana/nedelja/meseci fore da dzara po loginima dok neko ne primeti... sanse su ogromne da ce za mnogo manje vremena provaliti bar par accounta gde su sifre perica123 i qwerty...