【发布时间】:2014-04-13 00:55:12
【问题描述】:
我需要对我的程序进行一些安全验证,而我需要回答的与身份验证相关的一件事是“验证是否记录了所有身份验证决策,包括线性退避和软锁。”
有人知道线性退避和软锁是什么意思吗?
提前谢谢你,
泰国人。
【问题讨论】:
标签: authentication owasp
【发布时间】:2014-04-13 00:55:12
【问题描述】:
我正在研究 OWASP ASVS。实际上,Linear Back-of 和 soft-lock 是身份验证控制,用于防止暴力攻击,也可以帮助抵御 DoS。 可以通过某些算法通过在特定时间阻止用户/IP 来实现线性后退,并且在每次登录尝试失败后,该时间呈指数增长,例如第一个登录块失败 5 分钟,第二个登录块失败 25 分钟,第三个 125 分钟,依此类推。 根据我在一些文章中看到的以及在 Oracle WebLogic 软锁等应用程序中实现的理解,IP 地址(我认为这也有助于使用自动化工具防止 DoS 和蛮力)或用户对于每次失败的登录尝试,以及当登录尝试失败的特定阈值次数(例如 5 次)永久阻止 IP 地址时,名称都会记录在数据库中。一旦帐户在应用程序运行时被软锁定,它就不会尝试针对后端系统验证帐户凭据,从而防止它被永久锁定。 不过,ASVS 验证要求对此非常清楚。 “验证资源管理器是否到位,以防止垂直(单个帐户针对所有可能的密码进行测试)和水平暴力破解(所有帐户都使用相同的密码进行测试,例如“Password1”)。正确的凭据条目应该不会延迟。例如,如果攻击者尝试使用单个密码“Password1”暴力破解所有帐户,则每次错误尝试都会导致线性回退(例如 5、25、125、625 秒),并对该 IP 进行 15 分钟的软锁定在被允许继续之前,还应该有一个类似的控制来保护每个帐户,线性回退可配置为对用户帐户进行软锁定,例如在允许重试之前 15 分钟,无论源 IP 地址如何. 这两种调控机制应该同时激活,以防止对角线和分布式攻击。”
【讨论】: