我犯了一個PHP/MySQL的項目的客戶機,其中40多個員工就可以在辦公室和在家工作。他們有特定的權限。我用IP,位置,瀏覽器,客戶端的操作系統存儲登錄數據。 最近有人用我的憑證登錄(admin ac)。 IP即時消息是ISP真正的IP而不是客戶端IP。與同一ISP的3/4員工駐留同一區域。所以我無法找到他們中的哪一個4員工獲得我的訪問權限。任何腳本或任何想法?所以我可以抓住他?安全 - 我如何能趕上誰在使用不授權管理員帳戶
回答
您有幾個選項。
您可以挖掘數據以比較每位員工常用的Web瀏覽器和操作系統。然後,您可以將其與未經授權的人的數據進行比較。雖然它可能並不具體,但它可能會使您指向正確的方向。
下一個選項是引入安全的另一層。除了密碼外,要求所有用戶輸入附加信息。例如,你可能知道他們的國民保險(社會保障,如果你在美國)的號碼,所以要求他們輸入信息的第1,第5和第7個字符[爲了更安全,更改哪些字符每次登錄嘗試後都要求]。
如果您有用戶手機號碼 - 您可以讓系統發送短信(或者可能使用電子郵件代替),並附上用戶必須輸入的密碼。只要代碼是自動生成的 - 這也應該有幫助。
第二個和第三個方法可以幫不了你抓誰已經登錄到您的帳戶的人 - 但將有望阻止他們在將來這樣做(只要確保你保持你驗證任何信息帶着祕密)。
我會說,最終確定 - 怎麼你的用戶可以訪問您的帳戶在首位 - 你應該調查的一件事?您的應用程序中是否存在允許用戶查看密碼的漏洞?你有沒有與任何人分享你的登錄憑證?你的密碼足夠安全嗎?
最終 - 發現和懲罰罪魁禍首很可能將是困難的事情的證據。專注於修復安全漏洞。
感謝您的回答。我以MD5格式存儲密碼而不是純文本。因此查看通行證是不可能的。實施額外的安全措施將是我的第二步。我主要關心的是抓住他,所以我仍然讓他進入。就像你說的,如果我增加安全性,我將永遠無法知道他是誰.. – Rezbin
雖然MD5確實加密密碼 - 這是非常容易使用在線[工具]破解常用的密碼短語(https://hashkiller.co.uk/ MD5-decrypter.aspx)。你可能想要考慮使用SHA-1或更強大一點的東西。 [這可能有助於](http://stackoverflow.com/questions/2772014/is-sha-1-secure-for-password-storage)。 –
- 1. 如何安全管理員帳戶
- 2. 如何授予無管理員用戶權限來管理IIS?
- 3. 用戶在角色「管理員」,但[授權(角色=「管理員」)]將不驗證
- 4. 分離用戶和管理員帳戶更安全嗎?
- 5. 我不能讓我的帳戶使用linqtotwitter自己授權
- 6. 我想用管理員權限在有限帳戶中運行我的功能
- 7. Spree管理員授權
- 8. CanCan的管理員授權
- 9. 用管理員帳戶
- 10. 使用root帳戶安裝Cocos2D - iPhone用於非管理員使用root帳戶
- 11. 如何將管理員權限授予我的VSPackage?
- 12. 如何強制用戶在WinForms的用戶管理員帳戶
- 13. 管理magento中的管理員帳戶
- 14. Firebase管理員和用戶帳戶
- 15. 管理員帳戶不斷鎖定
- 16. 如何在winname的creatnamedpipe方法中爲非管理員權限帳戶添加安全屬性API
- 17. 授予與管理員選項角色的權限Vs授予與管理員選項的用戶角色?
- 18. 在管理中心使用管理員任務是否安全?
- 19. Alfresco webscripts從非管理員用戶運行gettting 401-未授權
- 20. ASP.NET MVC 4授權給同一用戶或其他管理員
- 21. 未授權顯示的管理員
- 22. 如何授權開發人員授予用戶權限?
- 23. 安全管理員很少在服務器上使用?
- 24. 如何使用Web部署3.0與非管理員帳戶
- 25. Spring安全授權
- 26. Spring安全授權
- 27. 本地管理員組中的SharePoint場管理員帳戶
- 28. 如何在我的livekuku應用上創建管理員用戶?
- 29. 如何通過shell命令向用戶授予Jenkins中的管理員權限
- 30. AggCat.getAccountTransactions和帳戶管理員收費
我可以從專家那裏得到任何意見嗎? – Rezbin