我犯了一個PHP/MySQL的項目的客戶機,其中40多個員工就可以在辦公室和在家工作。他們有特定的權限。我用IP,位置,瀏覽器,客戶端的操作系統存儲登錄數據。 最近有人用我的憑證登錄(admin ac)。 IP即時消息是ISP真正的IP而不是客戶端IP。與同一ISP的3/4員工駐留同一區域。所以我無法找到他們中的哪一個4員工獲得我的訪問權限。任何腳本或任何想法?所以我可以抓住他?安全 - 我如何能趕上誰在使用不授權管理員帳戶
回答
您有幾個選項。
您可以挖掘數據以比較每位員工常用的Web瀏覽器和操作系統。然後,您可以將其與未經授權的人的數據進行比較。雖然它可能並不具體,但它可能會使您指向正確的方向。
下一個選項是引入安全的另一層。除了密碼外,要求所有用戶輸入附加信息。例如,你可能知道他們的國民保險(社會保障,如果你在美國)的號碼,所以要求他們輸入信息的第1,第5和第7個字符[爲了更安全,更改哪些字符每次登錄嘗試後都要求]。
如果您有用戶手機號碼 - 您可以讓系統發送短信(或者可能使用電子郵件代替),並附上用戶必須輸入的密碼。只要代碼是自動生成的 - 這也應該有幫助。
第二個和第三個方法可以幫不了你抓誰已經登錄到您的帳戶的人 - 但將有望阻止他們在將來這樣做(只要確保你保持你驗證任何信息帶着祕密)。
我會說,最終確定 - 怎麼你的用戶可以訪問您的帳戶在首位 - 你應該調查的一件事?您的應用程序中是否存在允許用戶查看密碼的漏洞?你有沒有與任何人分享你的登錄憑證?你的密碼足夠安全嗎?
最終 - 發現和懲罰罪魁禍首很可能將是困難的事情的證據。專注於修復安全漏洞。
感謝您的回答。我以MD5格式存儲密碼而不是純文本。因此查看通行證是不可能的。實施額外的安全措施將是我的第二步。我主要關心的是抓住他,所以我仍然讓他進入。就像你說的,如果我增加安全性,我將永遠無法知道他是誰.. – Rezbin
雖然MD5確實加密密碼 - 這是非常容易使用在線[工具]破解常用的密碼短語(https://hashkiller.co.uk/ MD5-decrypter.aspx)。你可能想要考慮使用SHA-1或更強大一點的東西。 [這可能有助於](http://stackoverflow.com/questions/2772014/is-sha-1-secure-for-password-storage)。 –
- 1. 如何安全管理員帳戶
- 2. 如何授予無管理員用戶權限來管理IIS?
- 3. 用戶在角色「管理員」,但[授權(角色=「管理員」)]將不驗證
- 4. 分離用戶和管理員帳戶更安全嗎?
- 5. 我不能讓我的帳戶使用linqtotwitter自己授權
- 6. 我想用管理員權限在有限帳戶中運行我的功能
- 7. CanCan的管理員授權
- 8. Spree管理員授權
- 9. 我不小心刪除了我的phpMyAdmin中的管理員帳戶。我如何重新授予root @ localhost權限?
- 10. 用管理員帳戶
- 11. 管理員如何才能看到哪些用戶授權Facebook應用程序?
- 12. PHP管理員帳戶
- 13. 使用root帳戶安裝Cocos2D - iPhone用於非管理員使用root帳戶
- 14. Tomcat管理認證授權所有用戶帳戶
- 15. 管理員用戶的安全規則
- 16. 如何將管理員權限授予我的VSPackage?
- 17. 如何在django管理網站上授予用戶權限
- 18. Firebase安全 - 用戶和管理員權限
- 19. 如何強制用戶在WinForms的用戶管理員帳戶
- 20. 如何使用Devise作爲管理員瀏覽用戶帳戶?
- 21. Symfony2 - 任何用戶的管理員授權
- 22. 如何爲特定應用程序授予其他帳戶的管理權限
- 23. 檢測管理員帳戶
- 24. 管理magento中的管理員帳戶
- 25. Magento子管理用戶帳戶權限
- 26. msdeploy無法授權當用戶是本地管理員
- 27. 如何從nonadmin帳戶作爲管理員用戶啓動需要管理員權限的程序
- 28. 通過無管理員用戶帳戶
- 29. Firebase管理員和用戶帳戶
- 30. ASP.NET授權屬性和管理員用戶角色
我可以從專家那裏得到任何意見嗎? – Rezbin