shield

前端防暴力破解的一个设计

Demo 地址

https://github.com/GitHub-Laziji/shield

描述

传统的防范暴力破解的方法是在前端登录页面增加验证码, 虽然能有一定程度效果, 但是用户也跟着遭罪, 验证码越复杂, 用户登录的失败率越高

于是最近我想了一个新的设计, 前端在登录时采用解密的方式获取密钥, 把密钥与表单以前发往后端, 用密钥来代替验证码

具体细节如下

设计

用户在登录页面输完用户名密码, 点击登录
js 向后端请求密文
后端生成一个随机字符串和一个指定范围内的随机数
正向拼接随机字符串和随机字符串随机数的加密得到密文rstr+MD5(rstr+rint)
反向拼接得到密钥 MD5(rint+rstr)

    randomString = Utils.getUUID();
    randomNumber = Utils.randomInt(range);
    privateText =  randomString + Utils.md5(randomString+randomNumber);
    privateKey = Utils.md5(randomNumber+randomString);

将密文传给前端
前端通过循环破解随机数

    let randomString = result.substring(0, 32)
    let valueString = result.substring(32)
    let answerString
    for (let i = 0; i < range; i++) {
        let s = crypto.createHash("md5").update(randomString + i).digest('hex')
        if (s == valueString) {
            answerString = crypto.createHash("md5").update(i + randomString).digest('hex')
            break
        }
    }

把得到的密钥和表单一起传个后端
后端验证密钥的真假

测试

经过测试 10000 次内 md5 加密前端用时不超过 300ms, 用户察觉不到, 但是暴力破解的难道确增加了几千倍, 这意味这本来一个小时能破解的网站, 现在可能要一年才能破解

优势

整个流程对后端带来的压力几乎为 0
用户无需输入验证码
前端延时极小(对人来说)
对暴力破解影响极大
只需添加部分代码, 无需更改现有的代码
条件可控, 随机数的范围完全由后端决定

DeutschXP

2018-07-17 14:18:58 +08:00

毫无任何意义
0. 这种计算的成本几乎为零，你说的增加攻破难度，需要一年，只不过是因为无用功造成的时间成本。
1. 用户点击登录后，现在需要两次和后端交互，降低体验度。
2. 与其搞什么计算，不如直接延时发令牌，获取一次性令牌后再延时提交，用户点击登录按钮，显示请等待，后台开始忙活，把平时只需要 100ms 完成的登录验证，变成需要 3 秒才完成。这样一来，按照你的计算方法，本来几小时破解的网站，现在需要几年了呢，比你的一年还厉害。
而且我说的这个方法可以灵活配置。比如希望更长时间，直接延时 30 秒，就变成几十年才能破解了呢。如果登录等待过程改成一部电影的长度，好几辈子都破解不了。

fcten

2018-07-17 14:31:40 +08:00

不错的想法。对暴力破解的防护效果是有的，可以应用在一些安全性要求不高的场合，并且无需收集和记录用户的任何隐私信息。

虽然 JavaScript 的执行速度已经很快了，但是在这种 CPU 密集型的运算中，依然会比 C 慢上一百倍甚至更多。登录的场景不允许让用户等待太久，同时又要考虑到用户设备的硬件差异（例如一些比较老的智能手机）。最终抵御暴力破解的能力会打折扣。

就以楼主的例子来说，普通的台式机上 300ms，放手机上可能需要 3s，而攻击者用一台稍微好一点的机器，只需要 10ms。JavaScript 是单线程的，但是攻击者可以使用所有的 CPU 核心进行并发计算。假如攻击者使用的电脑有 16 个核心，就可以每秒尝试 1600 次。

要知道，合理的风控措施能做做到在支付场景下让用户使用 6 位数字密码。而这种 POW 策略必须搭配一个复杂的密码才能起到效果。

普通网站防暴力破解登录密码的新设计

shield

前端防暴力破解的一个设计

Demo 地址

描述

设计

测试

优势