Усиление безопасности CMS MyCat или новый взгляд на авторизацию

[Vladimir Sagov]

Несколько дней назад разместил даный топик в livejournal большинство сказало, что я параноик. Я в принципе с этим согласен. Только пароноик может поставить данную защиту, но всё таки параноя параноей, а идея существует и уже воплощена. Позвольте раскрыть её суть.

Усилил защиту админ части CMS MyCat. Теперь начиная с версии 4.0.2 в CMS MyCat можно будет включить следующую дополнительную функцию авторизации.
В настройках администратор может выбрать любую комбинацию не больше 9 чисел разумеется

Как видите учитывается не только комбинация и положение но и порядок ввода чисел.

При входе в админ часть потребуется ввести тот же квадрат. Числа находятся в ротации, и комбинация всегда будет разной. Максимальная случайность попадания 1 из 10 милионов.

[netklon]

Точно параноик. Но прикольно.

[Ruslan Juldashev]

Зачем всё это? От направленной атаки это не спасёт, разве что если комбинации порядка числ всегда будут рандомными, вместе с опознавательной картинкой. Ну и картинку-карту тогда придётся ставить (которую тоже надо будет как-то защищать).

[shumbola]

Цитата:

Сообщение от Vladimir Sagov

Несколько дней назад разместил даный топик в livejournal большинство сказало, что я параноик. Я в принципе с этим согласен. Только пароноик может поставить данную защиту, но всё таки параноя параноей, а идея существует и уже воплощена. Позвольте раскрыть её суть.

Усилил защиту админ части CMS MyCat. Теперь начиная с версии 4.0.2 в CMS MyCat можно будет включить следующую дополнительную функцию авторизации.
В настройках администратор может выбрать любую комбинацию не больше 9 чисел разумеется

Как видите учитывается не только комбинация и положение но и порядок ввода чисел.

При входе в админ часть потребуется ввести тот же квадрат. Числа находятся в ротации, и комбинация всегда будет разной. Максимальная случайность попадания 1 из 10 милионов.

Я бы не сказал, что это усиление. Типа еще одно поле для пароля
Ну или CAPTCHA если хотите...

P.S.
Вообще, прежде чем придумать такую схему, вы должны были задаваться себе вопросом, что мы собственно защищать собираемся? Если существует вероятность несанкционированного доступа к админ. части системы какими методами это осуществляется? Ну и другие вопросы, которые обычно возникает при построении защиты веб приложения.

[netklon]

Цитата:

Сообщение от Vladimir Sagov

Максимальная случайность попадания 1 из 10 милионов.

Как посчитали? У меня вероятность 1 к 362,88 триллионам при использовании всех девяти ячеек.

Хотя нет, вру. Если у нас есть OCR, который со 100% вероятностью разгадывает ваши циферки, то случайным образом можно подобрать 9! вариантов. Но это при том, что еще неизвестно сколько именно ячеек выбрано админом.

[Vladimir Sagov]

Цитата:

Сообщение от shumbola

Я бы не сказал, что это усиление. Типа еще одно поле для пароля
Ну или CAPTCHA если хотите...

Не верно. Если у вас перехватят пароль, то под ним можно войти. А здесь никак не получится. Пароль ведь всегда формируется разный. Могут только перехватить количество вводимых символов.

[Vladimir Sagov]

Цитата:

Сообщение от netklon

Как посчитали? У меня вероятность 1 к 362,88 триллионам при использовании всех девяти ячеек.

Я считал с учётом того, что будут знать количество вводимых символов, а так конечно огромная вероятность получится.

[Ruslan Juldashev]

Цитата:

Сообщение от Ruslan Yuldashev

Зачем всё это? От направленной атаки это не спасёт, разве что если комбинации порядка числ всегда будут рандомными, вместе с опознавательной картинкой. Ну и картинку-карту тогда придётся ставить (которую тоже надо будет как-то защищать).

О, сорри подумал, что это CAPTCHA.

Тогда, конечно, идея интересная.

[netklon]

Цитата:

Сообщение от Vladimir Sagov

Не верно. Если у вас перехватят пароль, то под ним можно войти. А здесь никак не получится. Пароль ведь всегда формируется разный. Могут только перехватить количество вводимых символов.

Не знаю точно, но наверное могут и перехватить картинку. Логику ее формирования тогда можно будет легко понять.

[shumbola]

Цитата:

Сообщение от Vladimir Sagov

Не верно. Если у вас перехватят пароль, то под ним можно войти. А здесь никак не получится. Пароль ведь всегда формируется разный. Могут только перехватить количество вводимых символов.

Хорошо, давайте по порядку, чтобы я понял как ваша защита работает. Что вы на стороне сервера для данного пользователя храните и как вы потом это самое сравниваете при авторизации?