it-swarm.dev

Joomla può essere attaccato con la forza bruta?

Solo per curiosità: un hacker potrebbe scrivere uno script per forzare brutalmente l'accesso dell'amministratore di Joomla provando nomi utente/password casuali o c'è un limite a quante volte un utente può provare ad accedere?

Ho visto plugin nella Directory delle estensioni di Joomla che (tra le altre funzioni) afferma di proteggere il tuo sito dagli attacchi di forza bruta. È necessario utilizzare una tale estensione?

4
Bogowoe

Qualsiasi pagina di accesso con un campo di input "userid" e "pass" può essere forzata se non viene applicata alcuna altra protezione. Lo stesso vale per Joomla !.

Puoi usare il plugin che hai dichiarato per mitigare l'attacco e avere anche un " strong "la password può ritardare una forza bruta relativamente indefinitamente (fino a quando l'attaccante si arrende).

Un'altra opzione sarebbe quella di aggiungere un captcha al modulo di accesso dopo un certo no. di tentativi di accesso non riusciti (come fa Google).

Puoi anche usare CDN per aggiungere un altro livello di sicurezza contro la forza bruta, come CloudeFlare ne fornisce gratuitamente uno.

3
Mohd Abdul Mujib

Visto che non hai specificato una versione di Joomla, suppongo che ti riferirai a Joomla 3.3.

Joomla 3.3 utilizza BCrypt per eseguire l'hashing delle password, diversamente da Joomla 2.5 che utilizzava md5 + salt.

Ecco un piccolo frammento di Nizza che ho trovato da yorickpeterse.com:

Non ho intenzione di coprire tutti i dettagli tecnici, ma fondamentalmente BCrypt richiede di specificare un costo/fattore di lavoro per generare una password. Questo fattore di lavoro non solo rallenta l'intero processo, ma viene anche utilizzato per generare l'hash finale. Ciò significa che se qualcuno dovesse cambiare il fattore di lavoro, anche l'hash sarebbe diverso. In altre parole, hacker, siete fottuti. Affinché un hacker possa ottenere la password originale, deve utilizzare lo stesso fattore di lavoro e deve quindi attendere N volte più a lungo rispetto a quando non utilizza un fattore di lavoro.

Pertanto, per rispondere alla tua domanda iniziale, sì, è probabilmente possibile la forza bruta, tuttavia ci vorranno anni molto probabili. Bcrypt è considerata una delle tecniche di hashing più avanzate oggi.

Potresti anche voler guardare l'autenticazione a due fattori integrata di Joomla, che è un ulteriore livello di sicurezza. Per maggiori informazioni, leggi quanto segue:

http://www.Dart-creations.com/joomla/joomla-tutorials/enabling-and-using-joomla-two-factor-authentication.html

Non sono richiesti plug-in di terze parti aggiuntivi.

1
Lodder