Атака на форму логина

SaaS-платформа, 15 000 пользователей. Жалобы: «Аккаунт заблокирован, хотя пароль правильный».

Расследование выявило массированный брутфорс:

• Credential stuffing: email+пароли из публичных утечек
• 2.3 млн попыток входа за 7 дней
• Ботнет из 12 000 IP-адресов с ротацией
• 47 аккаунтов скомпрометированы — пользователи использовали одинаковые пароли
• Rate Limiting по IP не работал — боты меняли адреса

Система блокировки после 5 ошибок блокировала легитимных пользователей — DoS через брутфорс.

Срочные меры

Первые 24 часа критичны. Следовали плану инцидент-менеджмента:

1. Forced password reset для скомпрометированных
2. CAPTCHA на форме логина
3. Уведомление пользователей о проверке паролей

Умная защита

Простой Rate Limiting не работал — боты ротировали IP. Внедрили продвинутую фильтрацию:

• Fingerprinting: TLS + Canvas + поведение мыши
• Bot Management: ML-детекция credential stuffing
• Адаптивный Rate Limiting: новое устройство + ошибка = challenge
• IP Reputation: проверка по базам известных ботнетов
• Геолокация: вход из новой страны требует 2FA

Долгосрочная защита

• 2FA по умолчанию для корпоративных аккаунтов
• SSO интеграция (снижает риск повторных паролей)
• Passwordless login через magic link
• Webhook для алертов о подозрительных входах
• Prometheus метрики auth failures. Настройка мониторинга →

Credential stuffing — растущая угроза. Узнайте, как мы защищаем формы авторизации без ущерба для UX.

• 0 скомпрометированных аккаунтов за 6 месяцев
• Брутфорс продолжается, но успешность: 0%
• Bot Management + Fingerprinting различают ботов и людей
• 2FA adoption: 78% пользователей
• Ложные блокировки: −95%
• CAPTCHA показывается только подозрительным (0.5% запросов)