Come evitare il bruteforcing?

[artikkk]

Salve a tutti,
da qualche giorno ho una spropositata lista di Ospiti connessi al forum, tutti con IP proxati e con stesse caratteristiche, il che mi hanno subito fatto subito pensare ad un bruteforcing.
Ho impostato qualche restrizione nell'acp: ho messo la verifica antibot dopo il 1° login fallito, e bannato molte liste di IP proxy.
Avete altri consigli?

bf.JPG

Grazie per l'attenzione

[Angolo]

Non c'è un vero modo per evitare il bruteforcing. C'è un modo per renderlo difficile...
Sono sempre le stesse regole note: backup completi e sistematici, mantenere tutto aggiornato, meno MOD possibili e comunque solo quelle stabili, validate e aggiornate, utilizzo di password molto complesse e cambio periodico delle medesime.
Il ban degli indirizzi IP, in un Paese in cui si utilizza in prevalenza un sistema a IP dinamico (semidinamico) rischia di diventare sempre molto controproducente. Se non alla breve alla lunga.
Questo come criterio generale.
Nello specifico, dovresti utilizzare un captha migliore di quello che utilizzi.
E se si inserisce la possibilità di connessione tramite facebook, è evidentemente che la sicurezza va a farsi benedire, sia perché non è una MOD stabile (salvo recenti sviluppi a me ignoti), sia perché lì la sicurezza è legata... "al buon cuore" di Facebook.
Inoltre, ridurre il tentativo di login a uno, rischia di creare problemi più alla tua utenza buona, che magari sbaglia a digitare, che non a un bot, programmato per trovare una password, ovvero un bruteforce.
Potresti impostare periodicamente il cambio forzato delle password... ma anche questo può diventare controproducente, perché l'utenza buona, potrebbe non gradire... Dipende dal target.

[artikkk]

Non c'è un vero modo per evitare il bruteforcing. C'è un modo per renderlo difficile...
Sono sempre le stesse regole note: backup completi e sistematici, mantenere tutto aggiornato, meno MOD possibili e comunque solo quelle stabili, validate e aggiornate, utilizzo di password molto complesse e cambio periodico delle medesime.
Il ban degli indirizzi IP, in un Paese in cui si utilizza in prevalenza un sistema a IP dinamico (semidinamico) rischia di diventare sempre molto controproducente. Se non alla breve alla lunga.
Questo come criterio generale.
Nello specifico, dovresti utilizzare un captha migliore di quello che utilizzi.
E se si inserisce la possibilità di connessione tramite facebook, è evidentemente che la sicurezza va a farsi benedire, sia perché non è una MOD stabile (salvo recenti sviluppi a me ignoti), sia perché lì la sicurezza è legata... "al buon cuore" di Facebook.
Inoltre, ridurre il tentativo di login a uno, rischia di creare problemi più alla tua utenza buona, che magari sbaglia a digitare, che non a un bot, programmato per trovare una password, ovvero un bruteforce.
Potresti impostare periodicamente il cambio forzato delle password... ma anche questo può diventare controproducente, perché l'utenza buona, potrebbe non gradire... Dipende dal target.

Una soluzione che taglierebbe fuori il 98% dei programmi di bruteforcing c'è, ovvero inserire il captcha anche al primo login. Che solo un paio di programmi, con le configurazioni giuste, potrebbero aggirare.
La domanda è: come metto il captcha anche al primo login?

[Angolo]

Vedi se sul com esiste qualcosa.

[artikkk]

Purtroppo non ho trovato niente :S