CLEF | Prihláste sa na WordPress bez hesla

Pekný deň Vám prajem.

Určite tu mnoho z Vás rieši problém bruteforce útokov na administrácie WordPress. Je to úplne bežné.

Hlavne keď sa snažia poskytovatelia hostingu nasadiť už aj dodatočnú ochranu pri vlnách útokov.

Možno je tu jedno riešenie a to je prihlasovanie bez hesla "CLEF". Momentálne majú plugin pre WordPress a Drupal.

Samozrejme nie je problém napísať si takéto prihlasovanie takmer pre čokoľvek. Na webe majú dokumentáciu pre developerov.

Táto služba funguje na prihlasovaní cez Váš mobil. Nezadávate žiadne prístupové tokeny. Jednoducho nasmerujete kameru na Váš monitor.

Viac info nájdete na www.getclef.com určite sa to oplatí pozrieť. Je to zadarmo.

Ak to niekoho zaujme na toľko že bude chcieť prejsť na "Pro" balíčky máme pre Vás aj zľavu 10% na 1. rok. Stačí zadať kód "eXon"

Dost zajímavý, chtěl bych vyzkoušet, ale zamrzelo mě, že nepodporují Windows Phone :'(

On někoho trápí brutal force? Pokud vím, že mě na administraci utočí boti, tak si tam dam lepší heslo, například 50 znaků, něco jako "FSssxWM*2$D7nDY#fKnfCAM&gKN*2v^CNUykYkA2Vy63FVuuZA".

Takové heslo by trvalo cracknout zhruba 14 107 211 504 268 885 437 635 976 436 701 929 874 940 008 436 770 280 640 599 277 502 729 729 143 419 699 200 let, takže si nemyslím, že by byla moje stránka v nebezpečí a že by potřebovala two-factor autentizaci .

BTW: heslo mám uložené v lastpass, takže se mě vyplňuje automaticky, jak na founu, tak v prohlížeči

Pokud by byl někdo paranoidní, tak si může dát klidně víc. SHA-512 zvládne až 128 znaků, takže by se tam vešlo heslo jako "4BvsWNPe15s6a1d1w5qd61c1212caFuFJGA$%eb7kESrp&FmEB*%8$&5HUU#mgQFvyh56qdw562R87gUsb!qAQ&JwmB5dDVctvZ@5XPJzpKJjncXDfgg!YuTmvGSRKFg". To by trvalo uhádnout úctihodných 34 049 195 572 411 815 640 911 428 391 093 402 847 706 857 882 130 224 711 005 613 551 462 636 760 675 626 713 661 884 378 400 615 269 024 856 517 928 906 452 160 627 900 871 270 068 405 715 392 462 745 653 122 273 215 007 878 238 072 620 157 492 908 351 335 432 192 let

I kdyby se výkon počítačů a crackování hesel v budoucnu milionkrát zlepšil, tak stejně je k cíli opravdu ale opravdu dlouhá cesta. A uhádnout takové heslo je doslova nemožné.

On někoho trápí brutal force? Pokud vím, že mě na administraci utočí boti, tak si tam dam lepší heslo, například 50 znaků, něco jako "FSssxWM*2$D7nDY#fKnfCAM&gKN*2v^CNUykYkA2Vy63FVuuZA".

...

Pravda A dalsia vec je, obetovat vobec cas na nejaky wordpress ? Je pravda ze niekoho web moze mat vacsiu hodnotu, ale radsej obetovat ten cas a BForcnut nieco viac cennejsie

Tak oni to nedělaj lidi. To je prostě bot, co scanuje domény, hledá wordpress a zkouší naivnost lidí, co mají admin/admin, či nějaký easy heslo jako admin/hello. V podstatě to není pravej brutalforce, protože oni zkouší jen triviální hesla z malejch wordlistů na určitý default username. A cílem je postnout nějaký reklamy/odkazy.

Jinak nic cenějšího s tím stejně nezískáš. Banky maj limit špatnejch přihlášení a po třetím pokusu zablokujou celej účet. Mnohem účinnější metoda je ukradnout identitu a přes telefon si heslo resetnout. Což někde moc dobře zabezpečené nemají - už se to stalo u blizzardu, godaddy, paypal, ...

CLEF nie je tak docela dvojstupňové prihlásenie, je to náhrada za heslo.

- ak niekto moje heslo zistí tak by mi musel ukradnúť priamo mobil a ten mam tiež zaheslovany

Skorej než teda niečo napíšete tak si o tom aspoň prečitajte. Rovnaký prípad ako keď ntdrt tvrdil

že CloudFlare je blbosť a teraz ho má na webe

Neříkám, že je to špatný ale že je nesmysl si to nasazovat jako obranu proti brutalforce. A pokud heslo vyhovuje, tak nevidím důvod to někam nasazovat. Leda že by se někomu líbily ty čárky co tam běhaj, je to cool .

Hele a co když se chci přihlásit z telefonu? Zrcadlo?

Když už si to nakousl...

CloudFlare na webu mám, protože mě server floodovalo pár nadšenců, ve finále to ale nefunguje - všechny útoky i tak šly přímo na server, tisíce req/s z jedné IP, musel bych mít nějakej VIP plan nebo co, aby antidos fungoval (ale bůh ví jestli nekecaj)... Nakonec jsem to vyřešil přes ngx_http_limit_conn_module a jsem šťastnej člověk . Další věc co dělá cloudflare je optimalizace stránek - ta nejlepší, kde je rocketscript, rozbije kde co a přestalo mě fungovat asi polovina webů, takže to tak není moc dobrá fičura ale ta základní optimalizace funguje dobře. Taky tam máš biliardu aplikací, který můžeš používat, ale jediný použitelný je vložení GA kódu do stránky, to je ale taky omezený, jde dát pouze jeden na celou doménu a všechny subdomény. Poslední věc co CloudFlare dělá je DNS. Což je zadarmo, funguje to a hlavně má člověk všechno v jenom UI, což je fajn. Takže jsem si kvůli tomu nakonec NS servery na cloudflare nechal... To má taky ale mouchu - nelze tam dělat uživatele, ale maj zase API, takže se to dá řešit.

Jinak, já se smál CloudFlare a jejich funkci always online, která má pozoruhodně bídnej uptime . Taky se mi několikrát stalo, že kvůli útoku na jinej CloudFlare web nešel můj web, za těch pár měsíců párkrát... Ve výsledku cloudflare spíš dostupnost snižuje, než že by to dělalo nějakou ultra ochranu a podobný kecy, co si tam píšou . Takže asi tak .

Jedna vedlejší vlastnost CF je fakt, že jejich proxy server fungujou jako firewall a to je důvod proč je používám. Zjistit IP mojeho serveru je hodně složitý a čistě přes jméno domény to moc nejde - žádnej bot mě nebude scanovat to co nechci. Jen to má vedlejší efekt - odřízne to i HTTPS (ve free planu).

Závěrem - má to svoje výhody i nevýhody a je to cca v rovnováze. Každopádně neplatí to, že mám cloudflare a jsem v bezpečí, což se ti oni snaží vnutit.

To zrkadlo bolo dobré

Skúšal som to a zadetekovalo to že mám appku nainštalovanú a loglo ma to po zadaní PIN z app

K tomu CloudFlare. Asi tam bol problém že keď to nasadíš treba zmeniť IP Serveru.

Keď nemáš Wildcard Subdomény ako v DNS tak sa reálna IP nedá nájsť teda pokiaľ máš Email Server inde.

V prípade toho Floodovania u Bussiness je to automaticky detekované myslím. Na Free balíčku si môžeš zapnúť zmierňovanie Floodu.

Útoky UDP / SYN / CHARGEN tie sa na server nedostanú kedže to ide na ich IP. To je dobrá vec.

Always Online funguje lepšie pre PRO a Bussiness. Ja osobne mám Bussiness balíček tam to ide OK. Výpadky skrz útok občas sa stane nie je to také časté len v prípade veľkých útokov na všetky DC v EU kde majú servery. Inač ma to behom pár sekúnd presmeruje napr. na server do PRG ak je útok na FRA.

- Pri správnom nastavení to vie zmierniť POST / GET / HEAD Flood. U Free si treba zapnúť ale tento režim.

- UDP / SYN / CHARGEN etc... sa na server pri správnom nastavení nedostanú. Nemajú tvoju IP

- Always Online nekomentujem serie ma tam aj podpora znakov slovenčiny.

Jop a ten Firewall je obrovské plus. Filtrovanie podla IP, Krajiny a tak je super. Ak budeš mať niekedy šancu skús si Pro alebo Bussiness plán.

Business? 4000 za doménu? Teď jich tam mam 30 -> 120 000 Kč měsíčně ... Ta cena vůbec neodpovídá službám. I když to zastaví floody/dos, tak se to nevyplatí. Za 120k můžeš mít celou armádu vlastních proxy a agregačních dedikáčů a dostupnost bude lepší, protože ty servery budeš mít jen sám pro sebe.

Pro nějaký obrovský weby, na který se cíli fakt pravej DDoS, CloudFlare určitě pomůže ale pro nás normální lidi jsou ty placený plány kurevsky nevýhodný. Protože v ČR občas někoho naštveš, tak veme pár serveru od OVH ale to jsou prťavý útoky a dá se tomu bránit i ručně. Já si na server dal v krušnejch chvílich script, co si do memkeše počítal přístupy podle IP, pokud to překročilo nějakou nesmyslnou hranici (třeba 5000 za minutu), tak jsem strčil IP do iptables a problém byl vyřešen. Sice server dostal zabrat ale do hodiny byly všechny IP zablokovaný a bylo po útoku.

Wildcard mám ale to mě míří na VPS v amsterdamu a ten to přesměruje zpátky na cloudflare . Na maily mám taky extra VPS, kde běží jen SMTP, takže IP adresa webserver se dá uhádnout jen hádáním subdomény, kterou mám nechráněnou pro přístup k serveru.

CLEF - páči sa mi ten login, písal som si s jedným zo zakladateľov CLEF-u, chcem to dať do svojho systému ako alternatívu k login-u Takisto mi písal že sa dá pužiť aj pri prihlasovaní na Facebook, Gmail - do Chrome-u je na to plugin Waltz, ak chcete, vyskúšajte.