it-swarm.dev

Joomlaはブルートフォース攻撃を受けることができますか?

ちょうど好奇心から:ハッカーは、ランダムなユーザー名/パスワードを試すことでJoomla管理者ログインを総当たりにするスクリプトを書くことができますか、それともユーザーがログインを試行できる回数に制限はありますか?

Joomla Extensions Directoryで plugins を見て(他の機能の中でも)、サイトをブルートフォース攻撃から保護すると主張しています。そのような拡張機能を使用する必要はありますか?

4
Bogowoe

入力フィールドが「userid」と「pass」のログインページは、他の保護が適用されていない場合はブルートフォースに設定できます。Joomla!の場合も同様です。

指定したプラグイン を使用して攻撃を緩和し、「strong "パスワードは、ブルートフォースを比較的無期限に(攻撃者が諦めるまで)遅らせる可能性があります。

別のオプションは、特定のいいえの後、ログインフォームにキャプチャを追加することです。失敗したログイン試行(Googleのように)。

CloudeFlareが無料で提供するように、CDNを使用してブルートフォースに対するセキュリティの別のレイヤーを追加することもできます。

3

Joomlaのバージョンを指定していないので、Joomla 3.3を参照していると想定します。

Joomla 3.3は、md5 + saltを使用したJoomla 2.5と同様に、BCryptを使用してパスワードをハッシュします。

これは私がyorickpeterse.comから見つけた少しいいスニペットです:

すべての技術的な詳細については説明しませんが、基本的にBCryptでは、パスワードを生成するためにコスト/ワークファクタを指定する必要があります。この作業係数は、プロセス全体を遅くするだけでなく、終了ハッシュの生成にも使用されます。これは、誰かが作業係数を変更した場合、ハッシュも異なることを意味します。言い換えれば、ハッカー、あなたはf *** edです。ハッカーが元のパスワードを取得するには、同じ作業要素を使用する必要があるため、作業要素を使用しない場合よりもN倍待機する必要があります。

したがって、最初の質問に答えるには、はい、おそらく力ずくで攻撃することが可能ですただしおそらく数年かかります。 Bcryptは、今日の最先端のハッシュ技術の1つと考えられています。

セキュリティの追加レイヤーである、Joomlaの組み込みの2要素認証を確認することもできます。詳細については、以下をお読みください。

http://www.Dart-creations.com/joomla/joomla-tutorials/enabling-and-using-joomla-two-factor-authentication.html

追加のサードパーティのプラグインは必要ありません。

1
Lodder