Halka açık her giriş sayfası, yayına alındıktan kısa süre sonra otomatik araçlar tarafından taranmaya başlar. Saldırganlar; daha önce sızdırılmış kullanıcı adı ve şifreleri dener, tek bir hesaba sürekli parola tahmini yapar veya botlarla giriş formunu kötüye kullanmaya çalışır.
Bu saldırılar aynı şekilde gelmez. Bazen aynı IP adresinden çok sayıda deneme yapılır. Bazen aynı kullanıcı adı farklı kaynaklardan tekrar tekrar denenir. Bazen de binlerce farklı kullanıcı hesabına, düşük hızda ve dağıtık şekilde sızdırılmış parolalar uygulanır.
Bu yüzden statik savunmalar yetersiz kalır. Sadece IP kilitlemek dağıtık saldırıları kaçırır ve ortak ağlardan gelen gerçek kullanıcıları yanlışlıkla engelleyebilir. Sadece hesap kilitlemek ise saldırganlara başka bir avantaj verir: çok sayıda hesabı kilitleyerek hizmet kesintisi yaratabilirler. Her girişte CAPTCHA göstermek de gerçek kullanıcı deneyimini bozar.
Daha büyük hata, giriş anındaki bot ve risk değerlendirmesini tamamen üçüncü taraf bir bulut servisine bırakmaktır. Bu model; dış servis bağımlılığı, kullanıcı başına veya değerlendirme başına maliyet, veri görünürlüğü ve kimlik doğrulama yolunda ek bir kırılma noktası oluşturur.
Giriş koruması tek tip bir duvar olmamalıdır. Risk arttıkça sürtünmeyi artıran, saldırının kaynağına ve hedefine göre davranan, gerçek kullanıcıyı gereksiz yere cezalandırmayan yerel bir güvenlik katmanı olmalıdır.
Çünkü giriş sayfasını korumak yalnızca saldırganı durdurmak değildir; gerçek kullanıcının güvenli şekilde çalışmaya devam etmesini de sağlamaktır.
Kademeli sürtünme, çok kapsamlı politika ve self-hosted challenge — hepsi zaten sahip olduğunuz platformda.
Her policy üç eşik çalıştırır: denetim log'una düşen bir uyarı, otomasyonu insanları engellemeden filtreleyen bir CAPTCHA challenge'ı ve kapıyı tamamen kapatan bir kilitleme. Meşru kullanıcılar ikinci kademeyi nadiren, üçüncüyü neredeyse hiç görmez; saldırganlar hızla tırmanır.
Her policy üç kapsamdan birine uygulanır: kaynak IP'ye göre, kullanıcı adına göre veya her ikisine birden. Tek bir hesaba tek bir IP'den kaba kuvvet saldırısı IP kapsamıyla yakalanır; dönen IP'ler arasında birçok kullanıcı adına yayılan credential stuffing kullanıcı adı kapsamıyla yakalanır; birleşik kapsam ikisini de karıştıran hedefli saldırıları ele alır.
CAPTCHA challenge'ı sunucu tarafında görsel olarak üretilir; beş zorluk seviyesi, kafa karıştırıcı karakterleri (I, L, O, 0, 1) atlayan bir karakter seti ve yapılandırılabilir renkler, boyutlar ve gürültü ile. Google reCAPTCHA yok, Cloudflare Turnstile yok, değerlendirme başına ücret yok — ve kimlik doğrulamanın en hassas anı ağ katmanınızdan asla dışarı çıkmaz.
Kilitleme sayaçları, her MFA kanalının kullandığı aynı deneme takibiyle koordine olur. Bir kullanıcı bir faktörü brute-force ederken başka bir faktörü paralel bir denemede bekletemez; parola adımında tetiklenen bir CAPTCHA aynı kimliği koruyan akışın geri kalanına yayılır.
Savunma yapı taşları ayrıntıda, artı bunları derinleştirecek yol haritası.
Her policy üç kapsamdan birine bağlanır. IP kapsamı tek bir saldırganın tek bir ağdan birçok hesaba vurmasını yakalar. Kullanıcı adı kapsamı, her denemenin kaynak IP'yi döndürdüğü credential stuffing'i yakalar. Birleşik kapsam, bilinen bir saldırganın belirli bir ağdan belirli bir hesaba odaklandığı hedefli durumu yakalar.
Her policy sırayla yükselen üç eşik çalıştırır. Uyarı eşiği şüpheli aktiviteyi kullanıcıyı etkilemeden denetim log'unda işaretler. CAPTCHA eşiği sonraki denemeden önce self-hosted bir görsel challenge koyar. Kilitleme eşiği yapılandırılabilir bir süre boyunca kapıyı kapatır — ve sıra, değerler ve sönüm penceresi policy başına yapılandırılır.
CAPTCHA'lar yerel olarak görsel olarak üretilir — hafif okunabilirlik ipuçlarından ağır bozulmaya kadar beş zorluk seviyesi, markayla eşleşmesi için yapılandırılabilir renkler ve boyutlar, ve meşru kullanıcı deneyimini temiz tutmak için görsel olarak benzer karakterleri (I, L, O, 0, 1) kasıtlı olarak atlayan bir karakter seti.
Giriş koruması; platformda tamamen üretilir, sunulur, doğrulanır ve denetlenir. Değerlendirme başına ücret yok, dış bağımlılık yok, her giriş denemesini bir satıcıya gönderme gizlilik etkisi yok, ve kullanıcılarınız ile kimlik doğrulamanız arasında oturan opak bir skorlama servisi yok.
Başarısız parola denemeleri, başarısız MFA challenge'ları ve başarısız CAPTCHA yanıtları, policy kapsamı başına koordineli sayaçları besler. Bir saldırgan bir faktörü brute-force ederken bir başkasında paralel bir denemeyi bekletemez; ve bir adımda tetiklenen kilitleme, aynı kimliği koruyan her kanala yayılır.
Her policy bir sönüm penceresi tanımlar. Pencereden eski başarısız denemeler mevcut eşiklere sayılmayı bırakır; böylece geçen hafta parolasını üç kez yanlış yazan meşru bir kullanıcı bugün zaten CAPTCHA kademesinde başlamaz. Pencere, sönüm şekli ve eşikler policy başına ayarlanabilir.
Her giriş denemesi — başarılı, uyarı aşıldı, CAPTCHA tetiklendi, kilitleme ateşlendi — zaman damgası, kaynak IP, user agent, kapsam ve policy sonucu ile yapılandırılmış bir denetim girdisi yazar. Alıcı bilgisi (e-posta, telefon) denetim akışında varsayılan olarak maskelenir; böylece denetim izi ikincil bir sızıntı yoluna dönüşmez.
Planlanan bir korelasyon motoru, servisler arasında deneme sayaçlarını bağlayacak; düşük değerli bir uygulamada kimlik bilgisi deneyen bir saldırgan, yüksek değerli bir uygulamaya temiz sayfayla geçemeyecek. IP itibar feed'leri aynı politika motoruna takılarak bilinen kötü amaçlı ağlar için sürtünmeyi otomatik olarak yükseltecek.
Kademeli savunmayı iyi kullanıcılar için görünmez, saldırganlar için net hissettiren mekanik.
Arka plan rengi, metin rengi, genişlik, yükseklik, font boyutu, karakter aralığı, gürültü çizgileri ve gürültü noktaları yapılandırılabilir. Challenge, koruduğu giriş portalının görsel kimliğine eşleşebilir — harici bir servisin işin içinde olduğunu sızdırmadan, çünkü hiçbir şey harici değil.
Varsayılan karakter seti I, L, O, 0 ve 1'i atlar — bozulmuş biçimde birbirine kolayca karıştırılabilen karakterler. Meşru kullanıcılar CAPTCHA'ları daha hızlı ve daha az tekrar denemeyle çözer; otomatik çözücülere karşı savunma değeri her zorluk seviyesinde korunur.
Uyarı eşiği, CAPTCHA eşiği, kilitleme eşiği, sönüm penceresi ve kilitleme süresi policy başına yapılandırılır. Bir kullanıcı yönetim arayüzü, kamuya açık bir destek hattı girişi veya bir yönetici konsolundan farklı toleranslara sahiptir; aynı motor onlara farklı sayılarla hizmet eder.
Sayaçlar ve kilitleme durumu Redis'te yaşar; böylece herhangi bir gateway pod'u herhangi bir kapsam için mevcut deneme sayısını görebilir. Yatay ölçeklendirilmiş dağıtımlar koordinasyon yükü olmadan tutarlı durum görür; bir pod'da alınan kilitleme kararı diğer tüm pod'lara anında görünür olur.
Kilitlenen bir kullanıcı ya kilitlemenin kendi süresine göre dolmasını bekler ya da bir yönetici tarafından gateway yönetici arayüzü üzerinden açılır. Kurtarma eylemi kendi başına denetlenir; bir olay sırasındaki acil açma, görünmez bir geçici çözüm yerine izlenebilir bir olaydır.
Bir upstream tehdit istihbaratı kaynağı artan riski işaretlediğinde — bilinen kötü ağlar, aktif credential stuffing kampanyaları, sızdırılmış kimlik listeleri — otomatik olarak sıkılaşan uyarlanır eşikler yol haritasındadır. Aynı politika motoru sinyali alır; aynı denetim izi değişimi kaydeder.
Sızdırılmış bir kullanıcı adı/parola listesine sahip bir saldırgan, IP'leri döndürerek her çifti giriş sayfasında dener. Kullanıcı adı kapsamlı politikalar bu deseni yakalar — sayaçlar hesap başına yükselir, CAPTCHA kademesi otomasyonu filtreler ve kilitleme tekrarlanan hedefler için kapıyı kapatır.
Tek bir saldırgan, tek bir kaynak IP, tek bir hedef hesap, çok sayıda tahmin. IP kapsamlı politikalar bunu saniyeler içinde yakalar — uyarı denetimde gün ışığına çıkar, CAPTCHA kademesi script'li denemeleri filtreler ve kilitleme süresi saldırıyı ekonomik olmaktan çıkaracak kadar hızlı katlanır.
Otomatik ajanlar; veri toplamak, spam yapmak veya kilitlenmemiş bir hesabı beklemek için giriş yapmaya çalışır. CAPTCHA kademesi tam olarak bunların yakalandığı yerdir — yerel olarak üretilir, yerel olarak doğrulanır ve harici SaaS challenge'larını hedefleyen otomatik CAPTCHA çözücü servislerin tamamen erişimi dışındadır.
PCI-DSS, HIPAA, KVKK ve ISO 27001; eşikler ve denetim izleri ile başarısız giriş izlemesinin yerinde olduğuna dair kanıt arar. Deneme başına denetim akışı, denetçiye yazılı düzyazı yerine yapılandırma olarak ifade edilmiş eşiklerle gözden geçirilebilecek tek bir zaman çizelgesi verir.
Üç kademeli sürtünme, üç kapsamlı politika kapsamı ve self-hosted CAPTCHA — hepsi zaten sahip olduğunuz platformda. Kendi uygulamalarınız üzerinde canlı bir kurulumda gezdirelim.