Как я могу ограничить попытки входа пользователя в PHP

Вы не можете просто предотвратить DoS-атаки, связав регулирование до одного IP-адреса или имени пользователя. Черт, с помощью этого метода вы даже не можете предотвратить попытки быстрого входа в систему.

Почему? Потому что атака может охватывать несколько IP-адресов и учетных записей пользователей, чтобы обойти ваши попытки регулирования.

Я видел в другом месте сообщения о том, что в идеале вы должны отслеживать все неудачные попытки входа на сайт и связывать их с меткой времени, например:

CREATE TABLE failed_logins (
    id INT(11) UNSIGNED NOT NULL AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(16) NOT NULL,
    ip_address INT(11) UNSIGNED NOT NULL,
    attempted DATETIME NOT NULL,
    INDEX `attempted_idx` (`attempted`)
) engine=InnoDB charset=UTF8;

Небольшое примечание по полю ip_address: вы можете хранить данные и извлекать данные, соответственно, с помощью INET_ATON () и INET_NTOA (), которые по сути эквивалентны преобразованию IP-адреса в беззнаковое целое число и обратно.

# example of insertion
INSERT INTO failed_logins SET username = 'example', ip_address = INET_ATON('192.168.0.1'), attempted = CURRENT_TIMESTAMP;
# example of selection
SELECT id, username, INET_NTOA(ip_address) AS ip_address, attempted;

Определите определенные пороги задержки на основе общего количества неудачных попыток входа в систему за заданный промежуток времени (15 минут в этом примере). Вы должны основывать это на статистических данных, взятых из вашей failed_logins таблицы, поскольку они будут меняться со временем в зависимости от количества пользователей и того, сколько из них могут вспомнить (и ввести) свой пароль.

> 10 failed attempts = 1 second
> 20 failed attempts = 2 seconds
> 30 failed attempts = reCaptcha

Выполняйте запросы к таблице при каждой неудачной попытке входа в систему, чтобы найти количество неудачных попыток входа в систему за заданный период времени, скажем, за 15 минут:

SELECT COUNT(1) AS failed FROM failed_logins WHERE attempted > DATE_SUB(NOW(), INTERVAL 15 minute);

Если количество попыток за указанный период времени превышает ваш лимит, либо принудительно дросселируйте, либо заставьте всех пользователей использовать капчу (то есть reCaptcha) до тех пор, пока количество неудачных попыток за данный период времени не станет меньше порогового значения.

// array of throttling
$throttle = array(10 => 1, 20 => 2, 30 => 'recaptcha');

// retrieve the latest failed login attempts
$sql = 'SELECT MAX(attempted) AS attempted FROM failed_logins';
$result = mysql_query($sql);
if (mysql_affected_rows($result) > 0) {
    $row = mysql_fetch_assoc($result);

    $latest_attempt = (int) date('U', strtotime($row['attempted']));

    // get the number of failed attempts
    $sql = 'SELECT COUNT(1) AS failed FROM failed_logins WHERE attempted > DATE_SUB(NOW(), INTERVAL 15 minute)';
    $result = mysql_query($sql);
    if (mysql_affected_rows($result) > 0) {
        // get the returned row
        $row = mysql_fetch_assoc($result);
        $failed_attempts = (int) $row['failed'];

        // assume the number of failed attempts was stored in $failed_attempts
        krsort($throttle);
        foreach ($throttle as $attempts => $delay) {
            if ($failed_attempts > $attempts) {
                // we need to throttle based on delay
                if (is_numeric($delay)) {
                    $remaining_delay = time() - $latest_attempt - $delay;
                    // output remaining delay
                    echo 'You must wait ' . $remaining_delay . ' seconds before your next login attempt';
                } else {
                    // code to display recaptcha on login form goes here
                }
                break;
            }
        }        
    }
}

Использование reCaptcha на определенном пороге гарантирует, что атака с нескольких направлений будет остановлена, и обычные пользователи сайта не будут испытывать значительную задержку при законных неудачных попытках входа в систему.

У вас есть три основных подхода: сохранить информацию о сеансе, сохранить информацию о файлах cookie или сохранить IP-информацию.

Если вы используете информацию о сеансе, конечный пользователь (злоумышленник) может принудительно вызвать новые сеансы, обойти вашу тактику, а затем снова войти в систему без задержки. Сессии довольно просты в реализации: просто сохраните последнее известное время входа пользователя в систему в переменной сеанса, сопоставьте его с текущим временем и убедитесь, что задержка была достаточно большой.

Если вы используете файлы cookie, злоумышленник может просто отклонить файлы cookie, в общем, это действительно не что-то жизнеспособное.

Если вы отслеживаете IP-адреса, вам нужно каким-то образом сохранять попытки входа в систему с IP-адреса, предпочтительно в базе данных. Когда пользователь пытается войти в систему, просто обновите записанный список IP-адресов. Вы должны очищать эту таблицу через разумный интервал, сбрасывая IP-адреса, которые не были активны в течение некоторого времени. Ловушка (всегда есть ловушка) заключается в том, что некоторые пользователи могут в конечном итоге использовать IP-адрес, а в граничных условиях ваши задержки могут непреднамеренно повлиять на пользователей. Поскольку вы отслеживаете неудачные попытки входа в систему и только неудачные попытки входа в систему, это не должно вызывать особых проблем.

Короткий ответ: не делайте этого. Вы не защитите себя от грубого насилия, вы можете даже ухудшить свое положение.

Ни одно из предложенных решений не сработает. Если вы используете IP-адрес в качестве любого параметра для регулирования, злоумышленник просто охватит атаку огромным количеством IP-адресов. Если вы используете сеанс (cookie), злоумышленник просто сбросит любые файлы cookie. Сумма всего, о чем вы можете подумать, заключается в том, что нет абсолютно ничего, что злоумышленник не смог бы преодолеть.

Однако есть одна вещь - вы просто полагаетесь на имя пользователя, который пытался войти в систему. Таким образом, не глядя на все другие параметры, вы отслеживаете, как часто пользователь пытался войти в систему и задросселировать. Но злоумышленник хочет причинить вам вред. Если он распознает это, он просто также будет перебирать имена пользователей.

Это приведет к тому, что почти все ваши пользователи будут ограничены вашим максимальным значением при попытке входа в систему. Ваш веб-сайт будет бесполезен. Атакующий: успех.

Вы можете отложить проверку пароля в целом примерно на 200 мс - пользователь сайта этого почти не заметит. Но брутфорс будет. (Опять же, он может охватывать IP-адреса) Однако ничто из всего этого не защитит вас от брутфорса или DDoS - как вы не можете программно.

Единственный способ сделать это - использовать инфраструктуру.

Вы должны использовать bcrypt вместо MD5 или SHA-x для хеширования ваших паролей, это значительно усложнит расшифровку ваших паролей, если кто-то украдет вашу базу данных (потому что я предполагаю, что вы находитесь на общем или управляемом хосте)

Извините, что разочаровал вас, но все решения здесь имеют слабые места, и их невозможно преодолеть внутри внутренней логики.

Процесс входа в систему должен снизить скорость как при успешном, так и при неудачном входе в систему. Сама попытка входа в систему никогда не должна быть быстрее примерно 1 секунды. Если это так, грубая сила использует задержку, чтобы узнать, что попытка не удалась, потому что успех короче неудачи. Затем за секунду можно оценить больше комбинаций.

Количество одновременных попыток входа на компьютер должно быть ограничено балансировщиком нагрузки. Наконец, вам просто нужно отслеживать, используется ли один и тот же пользователь или пароль повторно при более чем одной попытке входа пользователя / пароля. Люди не могут печатать быстрее 200 слов в минуту. Таким образом, последовательные или одновременные попытки входа в систему со скоростью, превышающей 200 слов в минуту, поступают от набора машин. Таким образом, их можно безопасно поместить в черный список, поскольку это не ваш клиент. Время черного списка на хост не должно превышать 1 секунду. Это никогда не доставит неудобств человеку, но нанесет ущерб попыткам грубой силы, последовательным или параллельным.

2 * 10 ^ 19 комбинаций при одной комбинации в секунду, выполняемых параллельно на 4 миллиардах отдельных IP-адресов, займет 158 лет, чтобы исчерпать пространство поиска. Чтобы продержаться один день на пользователя против 4 миллиардов злоумышленников, вам понадобится полностью случайный буквенно-цифровой пароль как минимум из 9 знаков. Рассмотрите возможность обучения пользователей парольным фразам длиной не менее 13 знаков, 1,7 * 10 ^ 20 комбинаций.

Эта задержка побудит злоумышленника украсть хэш-файл вашего пароля, а не подобрать ваш сайт. Используйте одобренные именованные методы хеширования. Запрет всего IP-адреса в Интернете на одну секунду ограничит эффект параллельных атак, без каких-либо затруднений, которые может оценить человек. Наконец, если ваша система допускает более 1000 неудачных попыток входа в систему за одну секунду без какой-либо реакции на запрет системы, тогда ваши планы безопасности имеют более серьезные проблемы, над которыми нужно работать. Прежде всего исправьте этот автоматический ответ.

session_start();
$_SESSION['hit'] += 1; // Only Increase on Failed Attempts
$delays = array(1=>0, 2=>2, 3=>4, 4=>8, 5=>16); // Array of # of Attempts => Secs

sleep($delays[$_SESSION['hit']]); // Sleep for that Duration.

или как было предложено Сайро:

sleep(2 ^ (intval($_SESSION['hit']) - 1));

Это немного грубо, но основные компоненты есть. Если вы обновляете эту страницу, каждый раз при обновлении задержка будет увеличиваться.

Вы также можете хранить счетчики в базе данных, где вы проверяете количество неудачных попыток по IP. Используя его на основе IP и сохраняя данные на своей стороне, вы не позволяете пользователю очистить свои файлы cookie, чтобы остановить задержку.

По сути, начальный код будет:

$count = get_attempts(); // Get the Number of Attempts

sleep(2 ^ (intval($count) - 1));

function get_attempts()
{
    $result = mysql_query("SELECT FROM TABLE WHERE IP=\"".$_SERVER['REMOTE_ADDR']."\"");
    if(mysql_num_rows($result) > 0)
    {
        $array = mysql_fetch_assoc($array);
        return $array['Hits'];
    }
    else
    {
        return 0;
    }
}

Сохранять неудачные попытки в базе данных по IP. (Поскольку у вас есть система входа в систему, я полагаю, вы хорошо знаете, как это сделать.)

Очевидно, что сеансы - это заманчивый метод, но кто-то действительно преданный может легко понять, что он может просто удалить свой файл cookie сеанса при неудачных попытках, чтобы полностью обойти дроссель.

При попытке войти в систему, получите количество недавних (скажем, последних 15 минут) попыток входа в систему и время последней попытки.

$failed_attempts = 3; // for example
$latest_attempt = 1263874972; // again, for example
$delay_in_seconds = pow(2, $failed_attempts); // that's 2 to the $failed_attempts power
$remaining_delay = time() - $latest_attempt - $delay_in_seconds;
if($remaining_delay > 0) {
    echo "Wait $remaining_delay more seconds, silly!";
}

Вы можете использовать сеансы. Каждый раз, когда пользователю не удается войти в систему, вы увеличиваете значение, сохраняющее количество попыток. Вы можете рассчитать требуемую задержку по количеству попыток или установить фактическое время, в течение которого пользователю также разрешено повторить попытку в сеансе.

Более надежным методом было бы сохранение попыток и времени новой попытки в базе данных для этого конкретного ip-адреса.

ИМХО, защита от атак DOS лучше решать на уровне веб-сервера (или, может быть, даже на сетевом оборудовании), а не в вашем PHP-коде.

Обычно я создаю таблицы истории и попыток входа в систему. В таблице попыток будут регистрироваться имя пользователя, пароль, IP-адрес и т. Д. Выполните запрос к таблице, чтобы узнать, нужно ли вам отложить. Я бы рекомендовал полностью заблокировать попытки более 20 за заданное время (например, час).

Согласно обсуждению выше, сеансы, файлы cookie и IP-адреса неэффективны - злоумышленник может манипулировать всем.

Если вы хотите предотвратить атаки методом грубой силы, то единственное практическое решение - основывать количество попыток на указанном имени пользователя, однако обратите внимание, что это позволяет злоумышленнику перейти на сайт DOS, заблокировав вход в систему допустимым пользователям.

e.g.

$valid=check_auth($_POST['USERNAME'],$_POST['PASSWD']);
$delay=get_delay($_POST['USERNAME'],$valid);

if (!$valid) {
   header("Location: login.php");
   exit;
}
...
function get_delay($username,$authenticated)
{
    $loginfile=SOME_BASE_DIR . md5($username);
    if (@filemtime($loginfile)<time()-8600) {
       // last login was never or over a day ago
       return 0;
    }
    $attempts=(integer)file_get_contents($loginfile);
    $delay=$attempts ? pow(2,$attempts) : 0;
    $next_value=$authenticated ? 0 : $attempts + 1;
    file_put_contents($loginfile, $next_value);
    sleep($delay); // NB this is done regardless if passwd valid
    // you might want to put in your own garbage collection here
 }

Обратите внимание, что, как написано, эта процедура приводит к утечке информации о безопасности - то есть кто-то, атакующий систему, может увидеть, когда пользователь входит в систему (время ответа на попытку злоумышленника упадет до 0). Вы также можете настроить алгоритм так, чтобы задержка рассчитывалась на основе предыдущей задержки и отметки времени в файле.

HTH

C.

Файлы cookie или методы, основанные на сеансах, в этом случае, конечно, бесполезны. Приложение должно проверить IP-адрес или временные метки (или и то, и другое) предыдущих попыток входа в систему.

Проверку IP можно обойти, если злоумышленник имеет более одного IP-адреса для запуска своих запросов, и может вызвать проблемы, если несколько пользователей подключаются к вашему серверу с одного и того же IP-адреса. В последнем случае, если кто-то несколько раз не сможет войти в систему, это помешает всем, кто использует один и тот же IP-адрес, войти в систему с этим именем пользователя в течение определенного периода времени.

Проверка отметки времени имеет ту же проблему, что и выше: каждый может запретить другим входить в конкретную учетную запись, просто попробовав несколько раз. Использование капчи вместо долгого ожидания последней попытки, вероятно, является хорошим решением.

Единственные лишние вещи, которые должна предотвратить система входа в систему, - это условия гонки при функции проверки попыток. Например, в следующем псевдокоде

$time = get_latest_attempt_timestamp($username);
$attempts = get_latest_attempt_number($username);

if (is_valid_request($time, $attempts)) {
    do_login($username, $password);
} else {
    increment_attempt_number($username);
    display_error($attempts);
}

Что произойдет, если злоумышленник отправит одновременные запросы на страницу входа? Вероятно, все запросы будут выполняться с одинаковым приоритетом, и есть вероятность, что ни один запрос не попадет в инструкцию increment_attempt_number до того, как остальные пройдут вторую строку. Таким образом, каждый запрос получает одно и то же значение $ time и $ попытки и выполняется. Предотвращение такого рода проблем безопасности может быть трудным для сложных приложений и включает в себя блокировку и разблокировку некоторых таблиц / строк базы данных, что, конечно же, замедляет работу приложения.

cballuo дал отличный ответ. Я просто хотел в ответ предоставить обновленную версию, поддерживающую mysqli. Я немного изменил столбцы таблицы / поля в sqls и другие мелочи, но это должно помочь всем, кто ищет эквивалент mysqli.

function get_multiple_rows($result) {
  $rows = array();
  while($row = $result->fetch_assoc()) {
    $rows[] = $row;
  }
  return $rows;
}

$throttle = array(10 => 1, 20 => 2, 30 => 5);

$query = "SELECT MAX(time) AS attempted FROM failed_logins";    

if ($result = $mysqli->query($query)) {

    $rows = get_multiple_rows($result);

$result->free();

$latest_attempt = (int) date('U', strtotime($rows[0]['attempted'])); 

$query = "SELECT COUNT(1) AS failed FROM failed_logins WHERE time > DATE_SUB(NOW(), 
INTERVAL 15 minute)";   

if ($result = $mysqli->query($query)) {

$rows = get_multiple_rows($result);

$result->free();

    $failed_attempts = (int) $rows[0]['failed'];

    krsort($throttle);
    foreach ($throttle as $attempts => $delay) {
        if ($failed_attempts > $attempts) {
                echo $failed_attempts;
                $remaining_delay = (time() - $latest_attempt) - $delay;

                if ($remaining_delay < 0) {
                echo 'You must wait ' . abs($remaining_delay) . ' seconds before your next login attempt';
                }                

            break;
        }
     }        
  }
}