Tante iscrizioni fasulle..come rimediare?

[Silver Surfer]

@ BuDuS : mi verrebbe da pensare che più che leggerti la password memorizzata non si sa bene dove, ti abbiano bypassato il controllo senza immettere la password, oppure che tu abbia un keylogger nel tuo sistema.
Se sono bot scanner escluderei la seconda.

[BuDuS]

Come se non avessi detto niente. Ribadisco per l'ennesima volta (ci provo): una password (una risposta a una domanda) iper_complessa_e_lunga_quanto_l'infinito, non serve a nulla. Si trova in un tempo relativamente breve.
...CUT...

Scusa se insisto pure io ma: cosa mi impedisce di craccare la tua password ed entrare direttamente con il tuo account ?

[Angolo]

Il fatto che io utilizzo un set... quindi ne devi craccare 7, 10, non una. Non ci vuole molto a capire.
Quasi come se dovessi fare 7 o più login, prima di accedere. Tutto è espugnabile. Ma così la si rende molto più difficile.

Aprire una cassaforte a una combinazione, è un discorso.

Aprirne una che ha 10 combinazioni, è un altro. Mi sembra elementare.

[BuDuS]

@ BuDuS : mi verrebbe da pensare che più che leggerti la password memorizzata non si sa bene dove, ti abbiano bypassato il controllo senza immettere la password, oppure che tu abbia un keylogger nel tuo sistema.
Se sono bot scanner escluderei la seconda.

I miei tentativi sono tesi proprio a verificare questa situazione.

Onestamente, usando un PC Linux, ho qualche difficoltà a credere mi abbiano installato un virus; non è impossibile, ma essendo notoriamente più sicuro a causa delle condizioni tecnico/commerciali, diciamo che trovo l'ipotesi abbastanza improbabile.

Purtroppo, come dicevo in un precedente post, ho commesso un errore: ho cambiato il Q&A, mettendo una password anziché una semplice parola da dedurre senza aver preventivamente eliminato gli account spammer.
Questo invalida la sensazione che mi abbiano crackato la "password" perché gli account erano già attivi da prima; tant'è che, pur avendo ripristinato "quella più corta" (che comunque trovo lo stesso improponibile da crackare con un bruteforce in tempi accettabili - ore o anche giorni - , dato che parliamo di 15 caratteri alfanumerici M/m), ancora non si vede uno SPAM (quando prima era questione di minuti, appena abilitavo il Forum).

[BuDuS]

Il fatto che io utilizzo un set... quindi ne devi craccare 7, 10, non una. Non ci vuole molto a capire.
Quasi come se dovessi fare 7 o più login, prima di accedere. Tutto è espugnabile. Ma così la si rende molto più difficile.

Aprire una cassaforte a una combinazione, è un discorso.

Aprirne una che ha 10 combinazioni, è un altro. Mi sembra elementare.

Temo che non mi hai capito: non mi riferisco al Q&A per postare sul forum o creare account, ma proprio alla password che usi per loggarti.
A me risulta sia una sola ....

[Angolo]

La password dell'account è una. Ma al terzo (salvo modifiche) tentativo sbagliato, subentra (se scelto quello) il Q&A, che se configurato bene, inserisce N domande a rotazione. Che diventano come N password a rotazione. Hai capito adesso?? Speriamo di sì.

[BuDuS]

La password dell'account è una. Ma al terzo (salvo modifiche) tentativo sbagliato, subentra (se scelto quello) il Q&A, che se configurato bene, inserisce N domande a rotazione. Che diventano come N password a rotazione. Hai capito adesso?? Speriamo di sì.

Premetto che non avevo considerato il fatto che interviene comunque il Q&A anche nel Login.

In questi termini è chiaro che è come affermi.

Tuttavia - e lungi da me entrare in calcoli matematici - mi pare anche banale da capire che 10 Q&A a rotazione con password da 6-7 caratteri possono essere decisamente più banali da crackare che una sola password di "soli" 15 (come quella da me usata). La difficoltà del crack - se parliamo di bruteforce - dipende dal N° di Q&A e/o dalla lunghezza delle risposte, sostanzialmente, e otteniamo risultati diversi a seconda di come usiamo questi due parametri e che fanno propendere l'ago da una parte o dall'altra (poi è chiaro che, a livello di facilità per gli utenti, è meglio la soluzione Q&A multipla che non una password sola e complicatissima).

In altri termini: se gli spammer in questione fossero riusciti a trovare un metodo per bypassare il controllo - cosa tutta da dimostrare e che, con lo scorrere del tempo, credo mi venga meno per motivi che ho citato in altri post - non fa differenza se uso una password sola di 1000 caratteri o 1000 Q&A a rotazione da 10 caratteri, comunque mi forano lo stesso, mi spiego ?? Spero di si.

[Angolo]

Ti spieghi, ma sbagli. Totalmente. Perché i bot (almeno attualmente e sicuramente non la stragrande maggioranza) non sono programmati per violare più di una password ovvero più di una domanda.
Quindi, ribadisco è confermo: meglio più domande semplici che una complessa. Ma logica vuole, che uno inserisca più domande complesse (ovvero domande che richiedono risposte relativamente complesse). Con dietro una password molto complessa. Così diventa molto difficile, trovare un bot, che sia programmato a superare questo. Se a tutto questo si aggiunge il recaptha e il gruppo nuovi utenti registrati, diventa impossibile.
Salvo che un folle, non programmi un bot esattamente con questo scopo. A parte che sarebbe difficilissimo, sarebbe stupido. Perché sarebbe meglio crearsi un conto online che spendere tanta fatica per un banale forum.

Risultato = spam zero (se si segue il nostro suggerimento: la triade).

Spero di essermi spiegato davvero bene una volta per tutte.

[Raffo83]

Io per ora sto usando la soluzione che esclude l'utenza da alcuni tablet. E' l'unica che per ora funziona. Inizialmente avevo messo sei o sette domande astratte, ma entravano lo stesso. Ho una domanda: come si fa a impostare sia le domande che il recapctha (che già avevo installato al tempo)? Non si escludono a vicenda?

[Angolo]

Installando la MOD, indicata nell'argomento relativo. Per questo si consiglia vivamente la triade: perché un solo elemento è insufficiente. A maggior ragione, se invece di utilizzare un set, si utilizza una sola domanda. Ma anche il set, da solo è insufficiente: deve essere associato almeno al gruppo Nuovi utenti registrati, perché abbia un'efficacia sufficiente. Se poi si aggiunge il recaptha, diventa pienamente efficace. Su tutti i dispositivi praticamente. Salvo forse qualche modello da museo.

Il set deve essere un diversivo: mentre il bot "perde tempo" a trovare la risposta corretta, è il recaptha che protegge, e il gruppo Nuovi utenti registrati, vanifica a priori ogni attacco.