Brute force
Определение: Brute force (брутфорс) — это атака перебором, когда злоумышленник автоматически пробует множество паролей или кодов, чтобы войти в аккаунт (например, в админку сайта, личный кабинет, почту или панель хостинга).
Зачем это нужно
- Понимать, почему «простой пароль» и повторное использование паролей — прямой риск взлома.
- Защищать админку и вход пользователей от массовых попыток подбора.
- Снижать нагрузку: брутфорс создаёт много запросов и может «положить» авторизацию.
- Раньше замечать атаки по логам и метрикам (всплеск 401/403, много попыток входа).
- Правильно выбирать меры: лимиты, блокировки, 2FA, CAPTCHA, правила firewall/WAF.
Пример
Пример кода:
# Правило: после 5 неудачных попыток входа — блокируем на 15 минут
if failed_logins(user, last_10_minutes) >= 5:
block_login(user, minutes=15)
# Дополнительно: для одного IP ограничиваем частоту запросов к /login
rate_limit(ip, path="/login", max_requests=20, per_seconds=60)
Смысл: даже если бот умеет перебирать пароли, он упрётся в лимит попыток и временную блокировку. Это резко снижает шанс успешного подбора и уменьшает нагрузку на сервер.
Скриншот
Подпись к скриншоту: фрагмент логов (панель безопасности, WAF, серверные логи), где видно серию неудачных логинов и применение блокировки или лимита.
Частые ошибки
- Не ограничивать количество попыток входа (нет rate limit и блокировок).
- Оставлять стандартные логины (например, admin) и слабые пароли.
- Ставить CAPTCHA, но не внедрять 2FA для админов и критичных ролей.
- Блокировать по IP «навсегда» без аккуратных правил — можно случайно закрыть доступ реальным пользователям.
- Не мониторить логи авторизации и не настраивать уведомления о всплесках попыток.
Связанные термины
Наши услуги
- Техническая поддержка сайтов — настройка защиты входа, мониторинг попыток, уведомления и реагирование.
- Доработка сайтов — внедрение лимитов, блокировок, 2FA и улучшение логики авторизации.
- Создание корпоративных сайтов — проектирование безопасной авторизации и ролей доступа с нуля.