Salve a tutti!
Leggendo una rivista di internet riguardante la sicurezza dei Server Web, mi ha colpito molto le tecniche usate dai Hacker per trovare la password di accesso al Server...
Il sisteme menzionato era il "Brute Force" ovvero tentare tutte le combinazioni possibili per scovare la password!
Avete qualche programma da indicarmi per effettuare questo test sul mio Server????
Vorrei costatare se è realmente sicuro...
Certo di una Vostra celere risposta
Saluti, Damiano
Tutto dipende dal tipo di login che vuoi "forzare". Esistono i login da pagina web, via ftp, via netbios... La possibilità di effettuare un brute-force, in realtà, deriva da una cattiva progettazione del login.
Per proteggerlo basta implementare un meccanismo di sicurezza: dopo tot tentativi sbagliati, il sistema di login ti blocca l'account per tot minuti.
Hai ragione....!
Ma se un Hacker tenta di trovarmi i dati di accesso FTP...!Se li trova sono guai perchè può cambiare tutte le pagine del mio sito!Giusto?
Avresti qualche programma per tentare un Brute FOrce sul mio sito..!
Se vuoi puo rispondermi anche in privato...
Grazie mille per il tuo aiuto
Buona Giornata
Damiano
Diciamo SOLO in pvt.[supersaibal]Originariamente inviato da damiano1985
Se vuoi puo rispondermi anche in privato...
[/supersaibal]
Inoltre, avere un Brute Force non serve a niente. Sei l'admin del server? Hai possibilità di gestire gli accessi? Ids?
Che te ne fai?
Topolin, Topolin, viva Topolin!
Scusate, forse dico la fesseria del secolo, ma mettere una password lunga e "complicata" non vanifica il brute-force?
Vai a bruteforzare una roba del tipo:
Dnooajj00shsàhh(s334983jjdojHHHh_hisbisd7(8sahbsbb hiiiiisisinsi
non ti bastano trenta vite...
Certo che il Server è mio!!!!
Guardate se state pensando che io sia un "Hacker" o qualcuno che vuole fare casino in internet state sulla strada sbagliata!!!!
Io volevo soltanto testare il mio Server con un attacco Brute Force per vedere se è vulnerabile a questo tipo di attacco....
Grazie a tutti...!
il segreto sta nel metter password ->
lunghe
non di senso compiuto
mischare lettere, numeri simboli ... e quello ke hai sulla tastiera
cambiarle con regolarità
Non posso darti programmi per il brute-forcema qualche consiglio sì.
Per prima cosa, non ti serve testare il tuo server in questo modo. Qualsiasi meccanismo di autenticazione tramite username e password, che sia accessibile da tutti, è vulnerabile a un attacco di forzatura (a meno che non utilizzi una protezione come quella che ho accennato prima).
Premesso questo, ci sono alcuni metodi per rendere più sicura l'autenticazione:
- il bloccaggio dell'account dopo un certo numero di tentativi di accesso (questo puoi verificarlo dalle specifiche del programma di autenticazione, non è necessario quindi fare tu stesso un brute-force)
- il controllo del client da cui parte la richiesta (si può autorizzare solo un certo ip o range di ip)
- l'utilizzo di password complesse
Riguardo all'ultimo punto, c'è qualche riserva: se tu usi una password lunga 70 caratteri, ma poi non la ricordi (o la scrivi in giro) allora è inutile.
Mai pensato, non avresti chiesto un Brute Force.[supersaibal]Originariamente inviato da damiano1985
Guardate se state pensando che io sia un "Hacker" [/supersaibal]
Piuttosto, perchè non impostiamo il discorso in maniera corretta?
Che specifiche ha il tuo server?
Topolin, Topolin, viva Topolin!
Questo è vero, ma in parte.[supersaibal]Originariamente inviato da 3zzz
Scusate, forse dico la fesseria del secolo, ma mettere una password lunga e "complicata" non vanifica il brute-force?
Vai a bruteforzare una roba del tipo:
Dnooajj00shsàhh(s334983jjdojHHHh_hisbisd7(8sahbsbb hiiiiisisinsi
non ti bastano trenta vite... [/supersaibal]
In parte perchè è quasi improponibile lavorare con pw così complicate e lunghe. Inoltre non puoi, in caso di server, tenere controllati tutti gli utenti che hanno accesso e quindi hanno impostato loro pw.
Non ultimo comunque è il modo in cui si controlla la pw stessa, tu puoi avere una password di 300 caratteri alfanumerici, se poi mi lasci aperto un controllo non criptato...bè...
Topolin, Topolin, viva Topolin!
Permessi di invio
Rispondi quotando