[Problema] Poblema authme

  • Pagine (2):
  • 1
  • 2
  • »
Da oggi  qualcuno riesce a scoprire le password degli admin e a entrare.....Da quanto riesco a capire loggano con utenti dal nome simile e allora pensavo fosse un bug ma poi logga uno e dice che usa un bruteforce e dice la mia password ..... non so cosa pensare °_°

mi dite un plugin per mettere password tipo allo staff.... (Modificato 04/07/2015, 23:40 da Hyoku.)
04/07/2015, 23:40Hyoku ha scritto: Da oggi  qualcuno riesce a scoprire le password degli admin e a entrare.....Da quanto riesco a capire loggano con utenti dal nome simile e allora pensavo fosse un bug ma poi logga uno e dice che usa un bruteforce e dice la mia password ..... non so cosa pensare °_°

mi dite un plugin per mettere password tipo allo staff....

Sfortunatamente per te, hai una password facile da indovinare (sicuramente presente nella lista delle 10000 password più usate). Stessa cosa per uno o più membri del tuo staff.

Fortunatamente per te, AuthMe ha 2 funzioni differenti ma che riescono entrambe nello stesso scopo: Bloccare i BruteForce.
Il primo si tratta di attivare, nel config di AuthMe: "kick-on-wrong-password: true". Questo kicckerà qualsiasi persona che inserisca una password sbagliata (contando il connection-throttle, per provare una 30ina di password si impiegano 7 secondi per password, cosa che altrimenti potrebbe impiegare 50 millisecondi per password).

Il secondo, se non ti piace kicckare ogni persona che sbaglia la password (come preferisco io), è attivare il captcha e specificare il numero massimo di tentativi di password sbagliate (3 consigliato) prima di attivarlo. Il captcha è un codice di 6 (configurabile) caratteri random da inserire per poter continuare a fare /login. Se la persona continua a fare /login svariate volte senza mettere il captcha verrà kicckato. Questo metodo è anche più sicuro perché, se è un bot, dopo che viene kicckato non potrà mai fare più il comando /login, finché la persona non inserisca il captcha. (per un confronto con l'altro metodo, considerando che dietro il bruteforce c'è una persona che in 1 secondo riesce a scrivere il captcha, potrà fare 3 password ogni +- 2 secondi, se non viene kicckato, altrimenti si aggiungono altri 5 secondi per la riconnessione).

Ulteriormente, se vuoi bloccare un account di uno staff ad un determinato IP (ammesso e concesso che hai un IP statico e quindi non ti cambierà mai ad ogni riavvio del router), puoi impostarli su "Restriced Names" o simili, sempre da AuthMe.
Se ti sono stato d'aiuto, mi offriresti una birra?
[Immagine: dona-con-paypal.png]

Rip Maxcraft
Avevo un progetto finito ma mai usato su eclipse, StaffToken.
Dovrebbe corrispondere alla tua richiesta.
Gli unici 2 permessi sono "stafftoken.block" e "stafftoken.reload", il primo deve essere messo allo staff, e permette di identificare gli staffer a cui chiedere il token al login, invece il secondo serve per il comando /tokenreload
Gli unici 2 comandi sono /token e /tokenreload, il primo serve per inserire il token, il secondo a ricaricare il token dal file di config senza dover riavviare il server.
Il plugin blocca qualsiasi comando ed iterazione con il mondo fino all'inserimento del token, incluse le collisioni con le entità (le frecce ti attraverseranno e non potrai spingere i mob)

Ecco qua il plugin, spero ti possa essere utile.

http://www.mediafire.com/download/ny0b7d...fToken.jar

Se noti bug strani contattami pure tramite PM (Modificato 05/07/2015, 01:05 da Samsey.)
[Immagine: 0438196df1.gif]
05/07/2015, 01:02Samsey ha scritto: Avevo un progetto finito ma mai usato su eclipse, StaffToken.
Dovrebbe corrispondere alla tua richiesta.
Gli unici 2 permessi sono "stafftoken.block" e "stafftoken.reload", il primo deve essere messo allo staff, e permette di identificare gli staffer a cui chiedere il token al login, invece il secondo serve per il comando /tokenreload
Gli unici 2 comandi sono /token e /tokenreload, il primo serve per inserire il token, il secondo a ricaricare il token dal file di config senza dover riavviare il server.
Il plugin blocca qualsiasi comando ed iterazione con il mondo fino all'inserimento del token, incluse le collisioni con le entità (le frecce ti attraverseranno e non potrai spingere i mob)

Ecco qua il plugin, spero ti possa essere utile.

http://www.mediafire.com/download/ny0b7d...fToken.jar

Se noti bug strani contattami pure tramite PM

Io non mi fiderei di un plugin passato da una persona che si è appena registrata per scrivere questo messaggio...
Spiegaci un po' come funziona il Token, è una password? (Sarebbe inutile allora perché c'è AuthMe), è un PIN generato dalla console che si può leggere solo da lì? E' un Token generato da programmi di Autenticazione a 2 fattori come Google Authenticator?

EDIT: Da quanto ho capito è una stringa messa sul config... Ma se viene divulgata/scoperta? Tutto lo staff è a rischio. Hai impostato una qualche forma di Timeout per evitare, anche in questo caso, il bruteforce? (Modificato 05/07/2015, 01:09 da Maxetto.)
Se ti sono stato d'aiuto, mi offriresti una birra?
[Immagine: dona-con-paypal.png]

Rip Maxcraft
Maxetto come abilito il captcha?
05/07/2015, 01:10Hyoku ha scritto: Maxetto come abilito il captcha?

Dal config di AuthMe:
Codice:
captcha:
    useCaptcha: true
    maxLoginTry: 3
    captchaLength: 6
Se ti sono stato d'aiuto, mi offriresti una birra?
[Immagine: dona-con-paypal.png]

Rip Maxcraft
Il plugin in questione non contiene nulla di strano, non potrebbe fregarmene di meno il fatto di procurare danni a server altrui, comunque se vuoi una prova dell'autenticità del plugin decompilalo pure e vedi tu stesso se contiene codice strano, non è obfuscato. E comunque no, non mi sono registrato solo per scrivere questo messaggio. Stavo semplicemente cercando un post dove poter cominciare a scrivere qualcosa e ho trovato questo, tutto qui.

Questo è il sistema di classi del plugin: http://puu.sh/iNt1J/661abc8890.png
Che senso avrebbe creare una cosa così complicata per un plugin maligno?

Il plugin semplicemente chiede un token configurabile dal file, avevo il progetto abbandonato su Eclipse e ho voluto semplicemente condividerlo con il nostro sfortunato amico. Mi rendo conto che è un plugin probabilmente quasi inutile, ma è comunque una piccola protezione in più che può fare la differenza nella violazione di un account staffer.

Comunque, se vuoi un ottimo plugin per proteggere gli account staffer puoi utilizzare MineSecure, che utilizza la Two-Factor Authentication (Lo trovi su spigot, a pagamento)

Oppure, la soluzione a tutti i mali è "online-mode: true" (Modificato 05/07/2015, 01:28 da Samsey.)
[Immagine: 0438196df1.gif]
1 utente apprezza questo post
Ho fatto come dice maxetto.
Doppia protezione, al primo login errato ti kicka, se rientri e risbagli non ti kicka ma devi mettere il captcha. (Modificato 05/07/2015, 01:26 da Hyoku.)
05/07/2015, 01:18Samsey ha scritto: Comunque, se vuoi un'ottimo plugin per proteggere gli account staffer puoi utilizzare MineSecure, che utilizza la Two-Factor Authentication (Lo trovi su spigot, a pagamento)

Mi è bastato leggere Two-Factor Authentication, cercare MineSecure e vedere che lo sviluppatore è md_5 (colui che sviluppa anche Spigot), per avere il nome del prossimo plugin da inserire! :O

05/07/2015, 01:22Hyoku ha scritto: Doppia protezione, al primo login errato ti kicka, se rientri e risbagli non ti kicka ma devi mettere il captcha.
Esatto, puoi combinare i metodi per il massimo della protezione! Big Grin (Modificato 05/07/2015, 01:29 da Maxetto.)
Se ti sono stato d'aiuto, mi offriresti una birra?
[Immagine: dona-con-paypal.png]

Rip Maxcraft
05/07/2015, 01:06Maxetto ha scritto: EDIT: Da quanto ho capito è una stringa messa sul config... Ma se viene divulgata/scoperta? Tutto lo staff è a rischio. Hai impostato una qualche forma di Timeout per evitare, anche in questo caso, il bruteforce?

Dopo aver letto questo tuo messaggio ho aggiunto che dopo 3 tentativi errati ti kicka.
Hyoku, se ti interessa ancora, il plugin modificato è questo.
http://www.mediafire.com/download/ny0b7d...fToken.jar (Modificato 05/07/2015, 01:52 da Samsey.)
[Immagine: 0438196df1.gif]
  • Pagine (2):
  • 1
  • 2
  • »
Discussioni simili
Discussione: Autore Risposte: Letto: Ultimo
[Domanda] Authme zBrockalex19_ 1 44 09/09/2017, 21:04
Ultimo: zDestroh_
[Domanda] Aiuto con AuthMe _PippuzZz_ 2 62 09/09/2017, 13:22
Ultimo: ImGiulio98
[Problema] Problema AuthMe xLoreh_ 9 99 09/09/2017, 13:02
Ultimo: ImGiulio98
[Risolto] Authme zBrockalex19_ 3 79 04/09/2017, 14:42
Ultimo: zBrockalex19_
[Risolto] Authme Bridge & Skin restorer Mirko_192004 4 101 02/09/2017, 11:09
Ultimo: Mirko_192004

Utente(i) che stanno guardando questa discussione: 1 Ospite(i)