Viime aikoina on ollut piikki brute-force-hyökkäyksissä, joissa on käytetty todellisia käyttäjätunnuksia.
Lähetin juuri WP-Ensuren marraskuun raportit.
Viime aikoina on ollut piikki brute-force-hyökkäyksissä, joissa on käytetty todellisia käyttäjätunnuksia. Kuka tahansa, joka kirjautuu sisään olemattomalla käyttäjätunnuksella, voidaan helposti estää, mutta jos takana on oikea käyttäjätunnus tai sähköpostiosoite, botit tietävät, että ne ovat jäljillä, ja yrittävät edelleen arvata salasanaa.
On hyvä juttu, että voimme rajoittaa bottien yritysten määrää ennen estoa. Yhdessä Google ReCaptchan ja vahvojen salasanojen käyttöönoton kanssa niillä riittää pureskeltavaa jonkin aikaa.
Joskus yksinkertaisin tapa hämätä botteja hetkeksi on, että sivuston omistajat vaihtavat käyttäjätunnuksensa (se on päivitettävä suoraan tietokantaan) ja/tai sähköpostiosoitteensa. Tämä antaa yleensä muutaman kuukauden rauhan, ja kaikki vuotaneet käyttäjätunnukset/sähköpostit ovat taas käyttökelvottomia.
Jos asiat menevät todella huonosti, turvana toimii aina kaksivaiheinen tunnistautuminen, eli 2FA (two factor authentification). On hienoa, että kaksivaiheinen tunnistautuminen on yleistymässä, mutta valitettavasti useimmille tavallisille käyttäjille se on edelleen vähän liian monimutkainen. Tekniikkaan perehtyneillä käyttäjillä on luultavasti jo autentikointisovellus, mutta se voidaan ihan myöntää että tuplatunnistautuminen on aika vaivalloista.
Sivuhuomautuksena, pudotin fiksuna ihmisenä puhelimeni akvaarioon puolitoista kuukautta sitten, ja voit kuvitella, miten hauskaa oli yrittää nollata kaikki 2FA:t. Jos on yhtään tapaturma-altis, kannattaa ehkä pitää vanha puhelin tallessa pahan päivän varalle 🙂
