Este ataque prueba con todas las combinaciones posibles para obtener la contraseña de un usuario.
Que es lo que debemos considerar para proteger nuestro sitio:
- Registrar todos los accesos, ya sean exitosos o no (IP, usuario, número de intentos, fecha, etc.).
- Utilizar contraseñas fortalecidas: números, minusculas, Mayusculas y signos.
- Establecer una longitud mínima para el nombre de usuario y contraseña.
Con el punto número uno tendremos la información necesaria para identificar al atacante:
Al identificar el IP:
- Bloquear el IP desde nuestro servidor.
- Bloquear el IP desde un script de php.
- Conocer la ubicación donde se encuentra el equipo que nos esta atacando
- Encriptar contraseñas.
Número de Intentos:
- Bloquear temporalmente la cuenta de usuario despues de un número determinado de intentos.
- Cual es la recurrencia del atacante.
Existen diferentes herramientas (variables) en php que nos ayudarán a obtener esta inforamción como lo son las variables $_SERVER , $_SESSION y $_COOKIE.
Tambien considear tablas en la base de datos para registrar los accesos a la información restringida y llevar un conteo de los intentos fallidos dentro de un intervalo de tiempo.
No hay comentarios:
Publicar un comentario