Account lockout attack-bruteforce

  Blocking Brute Force Attacks
من الاخطار الي تواجه تطبيقات الويب ومازالت هي تخمين كلمة المرور او ما تسمى Brute Force Attacks ومن الممكن ان يصل المهاجم الى كلمة المرور اذا كانت ضعيفه وكذالك القويه لكن العيب في اكتشاف كلمات المرور القويه هو من الممكن ان تصل الفتره الى ان يتم اكتشاف كلمة المرور القويه لسنوات  لذا نجد الكثير من خبراء الامن والحماية يرددون ويكررون مقولة استخدم باسورد قوي يتكون من ارقام واحرف ورموز يفضل اكثر من 8 خانات لكي تكون عملية user authentication في مأمن من هجمات التخمين ظهرت تقنيات حماية user authentication تحمي عملية المصادفة من التخمين مثل  Locking Accounts وهذه التقنيات لحماية عملية المصادفة مبدا عمليها ان يحدد عدد لعمليات الدخول الفاشله ثم اتخاذ اجراء عند وصول الى ذلك العدد على سبيل المثال اذا تم الخطا في الدخول لعشر مرات يتم اقفال الحساب ولا يتم لك السماح بالدخول لفتره زمنيه معينه او بشكل دائم حتى يتم تحريره المسول عن الشبكه او النظام بسبب هذا السيناريو لتقنيات حماية مصادفة المستخدمين ظهرت هجمات اخرى تسمى  Locking Accounts attacks.

ماهي هجمات  Locking Accounts attacks
مبدا عمل الهجوم هو استغلال تقنيات حماية عملية المصادفة واستخدامها ضد صاحب الحساب ومنع من استخدام حسابه وشن هجوم dos على الحساب بعمل Brute Force بشكل متواصل على الحساب فتقوم تقنيات حماية المصادفة بحظر هذا الحساب كل ما ظل المهاجم مواصل عملية Brute Force على الحساب  لذلك استخدام Locking Accounts قد لا يكون هو الحل الافضل اذا لم يتم اعدادة بشكل صحيح لانه ببساطه يستطيع اي شخص استغلال هذه الحماية في شن هجوم والتسبب في اغلاق الحساب و تكبد خسائر او مشاكل كثيره .
 
من بعض هذه المشاكل التي يتسبب فيها هجوم Locking Accounts attacks
1- المهاجم يتسبب في الحرمان من الخدمه dos على الحساب المستهدف
2- لا يمكن حماية حساب غير موجود لهذا يستطيع الهاكر ان يحصد اسماء المستخدمين على الموقع من خلال رسائل الخطأ التي سوف يحصل عليها
3- يمكن للمهاجم ان يخرج كل الحسابات التي دخلت سابقا واخراجها من عملها
4- لا يمكن حماية تخمين كلمه مرور واحده ضد عدد من المستخدمين

تخيل معي لو ان هناك موقع للمزاد وفي اللحظه الاخيره نقوم بتنفيذ هجوم Locking Accounts attacks ويخرج كل الداخلين في الموقع  ونربح المزاد ^_^

3d key
ماهي الاجرائات المضاده لهجمات Locking Accounts attacks
اغلاق او حظر الحساب ليس حل لهجمات التخمين ولكن هناك اجرائات اخرى قد تكون اكثر نفع وليس لها مردود سلبي لا تعتمد على الوقت ابدا في حل هذه المشكله استخدم حلول ليس لها علاقه بالوقت مثلا حظر الايبي للمهاجم او التحويل بعد عدد معين من المحاولات الفاشله الى صفحه تحتوي على اكواد الكابتشا ايضا من احد الحلول تصميم تطبيق الويب ان يقوم بارجاع المحاولات الفاشله الى صفحه خطا “HTTP 401 error” ايضا من الممكن ان تطالب المستخدم بعد محاوله او محاولتين فاشلتين للدخول بالاجابة على السوال السري ايضا من التقنيات المتقدمه والذي قد يرغب بها بعض المستخدمين المتقدمين وتكون فعاله في حسابات المدراء او اصحاب الموقع تحديد ايبي معين هو الوحيد له الصلاحيه بعرض صفحه تسجيل الدخول  ليتمكن من الدخول الى الموقع ايضا من الممكن ان تقوم بعمل اجرائات قفل الحساب Locking Accounts ولكن ليس بشكل كلي لكن استخدم له اجرائات محدوده ليتمكن من الدخول حتى في حاله
هناك هجوم Brute Force Attacks على حسابه ولكن بخصائص محدوده حتى يتمكن من الولوج الى حسابه ثم فك بقيه الخصائص او التاكد من انه الشخص الحقيقي.

التعرف على هجوم  Brute Force Attacks موجود على سيرفرك
هناك طرق كثيره تستطيع التعرف من خلالها على وجود محاوله تخمين وذلك على سبيل المثال من تقرير صفحه الخطا  HTTP 401 الذي قمنا بارجاع الصفحه الفاشله من تسجيل الدخول اليها
من ملفات تقارير السيرفر  لديك ايضا تستطيع معرفة  :
1- وجود العديد من المحاولات الفاشله من نفس الايبي .
2- وجود اكثر من يوزر نيم لنفس الايبي .
3- محاولات فاشله من عدة عناوين ايبي لنفس اليوزر نيم قد يملك الهاكر العديد من البروكسيات التي يستخدمها ضد موقعك .
4- من تقرير الترايفك الزائد على صفحه تسجيل الدخول لديك في الموقع .
5- محاولات فاشله من اسماء وكلمات مرور متسلسه ابجدياً .
6- محاولات لتخمين كلمات المرور على شكل  http://user:password@www.example.com/login.htm

هجمات التخمين من الصعب ايقافها بشكل كلي ولكن عليك استخدام تقنيات لا تضر بعملائك او مستخدمين الموقع.

اتمنى ان المقال ينال استحسانكم