自动化的黑客工具群网站登录页面

自动化的黑客工具群网站登录页面

你可能会认为大多数游客到一个网站的登录页面的人,但现实情况是,绝大多数都是犯罪分子寻找弱口令所使用的自动化工具。 [ Twitter的登录安全功能可能过于复杂,对于大多数用户 ] 在最近的90天期间,Incapsula监测的 …

2013-11-08

你可能会认为大多数游客到一个网站的登录页面的人,但现实情况是,绝大多数都是犯罪分子寻找弱口令所使用的自动化工具。
[ Twitter的登录安全功能可能过于复杂,对于大多数用户 ]
在最近的90天期间,Incapsula监测的有1,000个客户网站的访问尝试和发现,94%的恶意自动化工具。其余的尝试,无论是人或什么网站的安全性被称为“仁慈的机器人”,比如搜索引擎,合法爬虫和RSS阅读器的供应商。
15,平均每16个游客Incapsula监测站点试图打破英寸总的来说,,Incapsula记录140万未授权的访问尝试和大约20,000验证登录。
虽然承认该研究偏向Incapsula的客户,该公司认为其调查结果表明许多网站的经验。
联合创始人兼营销和业务开发副总裁Incapsula Marc Gaffan的,说:“我们绝对相信,”这是一个很好的代表性,或准确地表述,这是怎么回事有。
恶意登录扫描器通常寻找应用程序的漏洞,并尝试许多常用的密码专家们所谓的蛮力攻击。
在8月,Arbor Networks的确定到6000个站点,使用的Joomla,WordPress或Datalife引擎博客和内容管理系统,打破了这种攻击。被称为五月下旬开始攻击了半打,跑了超过25,000名受感染的Windows计算机的僵尸网络的指挥和控制站点源于迪斯科,堡。
排名前10位用来破解网站的密码为“admin”,“123456”,“123123”12345“,”传递“,”123456789“,{域},”1234 150“,”ABC123“和”123321“。
强制执行强密码是第一线的防御这种攻击,专家的认同。例如,一个12个字符的密码改为每30天,再加上只允许四个登录尝试每隔15分钟,就会使一个成功的蛮力攻击“不可能,”Lumension分析师保罗·亨利,法医说。
亨利说,网站可以简单地锁定游客经过多次尝试登录,但这样做可以负担,帮助台,也可以被利用来发动拒绝服务攻击。
[ 保存您的Internet培根双因子认证 ]
使用双因素身份验证,如密码和随机数发送到移动电话,是另一种选择。Qualys公司首席技术官沃尔夫冈Kandek说:“我是一个大风扇的双因素身份认证,我觉得它很好地解决了这个问题,”。
然而,这种机制可能难以部署和网站访问者是一个麻烦。因此,另一种选择是使用一个CAPTCHA的挑战,如果反复尝试从一个IP地址,检测Kandek说。