我犯了一個PHP/MySQL的項目的客戶機,其中40多個員工就可以在辦公室和在家工作。他們有特定的權限。我用IP,位置,瀏覽器,客戶端的操作系統存儲登錄數據。 最近有人用我的憑證登錄(admin ac)。 IP即時消息是ISP真正的IP而不是客戶端IP。與同一ISP的3/4員工駐留同一區域。所以我無法找到他們中的哪一個4員工獲得我的訪問權限。任何腳本或任何想法?所以我可以抓住他?安全 - 我如何能趕上誰在使用不授權管理員帳戶
您有幾個選項。
您可以挖掘數據以比較每位員工常用的Web瀏覽器和操作系統。然後,您可以將其與未經授權的人的數據進行比較。雖然它可能並不具體,但它可能會使您指向正確的方向。
下一個選項是引入安全的另一層。除了密碼外,要求所有用戶輸入附加信息。例如,你可能知道他們的國民保險(社會保障,如果你在美國)的號碼,所以要求他們輸入信息的第1,第5和第7個字符[爲了更安全,更改哪些字符每次登錄嘗試後都要求]。
如果您有用戶手機號碼 - 您可以讓系統發送短信(或者可能使用電子郵件代替),並附上用戶必須輸入的密碼。只要代碼是自動生成的 - 這也應該有幫助。
第二個和第三個方法可以幫不了你抓誰已經登錄到您的帳戶的人 - 但將有望阻止他們在將來這樣做(只要確保你保持你驗證任何信息帶着祕密)。
我會說,最終確定 - 怎麼你的用戶可以訪問您的帳戶在首位 - 你應該調查的一件事?您的應用程序中是否存在允許用戶查看密碼的漏洞?你有沒有與任何人分享你的登錄憑證?你的密碼足夠安全嗎?
最終 - 發現和懲罰罪魁禍首很可能將是困難的事情的證據。專注於修復安全漏洞。
感謝您的回答。我以MD5格式存儲密碼而不是純文本。因此查看通行證是不可能的。實施額外的安全措施將是我的第二步。我主要關心的是抓住他,所以我仍然讓他進入。就像你說的,如果我增加安全性,我將永遠無法知道他是誰.. – Rezbin
雖然MD5確實加密密碼 - 這是非常容易使用在線[工具]破解常用的密碼短語(https://hashkiller.co.uk/ MD5-decrypter.aspx)。你可能想要考慮使用SHA-1或更強大一點的東西。 [這可能有助於](http://stackoverflow.com/questions/2772014/is-sha-1-secure-for-password-storage)。 –
我可以從專家那裏得到任何意見嗎? – Rezbin