• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

System logowania

VPS Starter Arubacloud
0 głosów
172 wizyt
pytanie zadane 12 września 2019 w PHP przez michal_php Stary wyjadacz (13,700 p.)
Cześć.

Mam pytanie odnośnie zabezpieczenia się przed siłowni atakami złamana hasła. Czy zastosowanie 3 prób logowania i blokada konta coś zmieni?

2 odpowiedzi

0 głosów
odpowiedź 12 września 2019 przez JakSky Stary wyjadacz (14,770 p.)
Tak, bo będzie trzeba odblokować konto np. za pomocą email. Więc atakujący będzie musiał złamać kolejne hasła i zabezpieczenia.
0 głosów
odpowiedź 12 września 2019 przez Comandeer Guru (599,730 p.)
Taka blokada ma jeden minus: można dowolnie komuś blokować konto, po prostu wklepując bezsensowne hasła do oporu.

Bardziej bym się chyba skłaniał do czasowego blokowania możliwości logowania. Np. 3 razy błędne hasło → 5 minut przerwy przed próbą ponownego logowania. Kolejny raz ktoś podaje błędne hasło → 10 minut itd. Przy którejś próbie można też banować całą przeglądarkę.
komentarz 12 września 2019 przez Tomek Sochacki Ekspert (227,510 p.)
ja bym raczej polecał inną formę - np. dwie złe próby logowania -> captcha google. Niech to będzie domyślnie invisible, czasami google może stwierdzić, że da te swoje obrazki ale z moich obserwacji wynika, że jest to tak ok. 10-15% przypadków. Wg mnie jest to lepsze niż takie kazanie userowi czekać, jestem raczej przeciwnikiem blokowania aplikacji dla usera jeśli można znaleźć inne rozwiązanie.

Google co prawda ma czasami zwiechy i nie serwuje captchy, czasami analizuję sobie logi dla tych sytuacji i jest to kilkanaście-kilkadziesiąt minut w tygodniu ale jeśli mówimy tu o małym serwisie, rzędu pewnie max kilku RPS na endpoint logowania to nie przejmowałbym się tym. U  mnie w firmie w takich sytuacjach serwujemy zastępczo naszą captchę obrazkową co też jest pewnym rozwiązaniem.

Jeszcze jednym sposobem jest nie tyle ochrona bezpośrednio co utrudnienie ataków siłowych, poprzez dłuższe oczekiwanie odrzucenie zwrotki z API. Na przykład zakładamy, że po kliknięciu "zaloguj" chcemy trzymać spinner na buttonie przez 3 sekundy jeśli mamy zwrotkę negatywną. Dla zwrotki pozytywnej od razu robimy zalogowanie, ale dla negatywa blokujemy możliwość kolejnego zalogowania na te 3 sekundy. To nieco utrudni rozwiązania siłowe bo po prostu stają się one dłuższe niezależnie od szybkości połączenia i czasu odpowiedzi z API.

 

Także reasumując, rozwiązanie jakie przedstawiłeś wydaje mi się niezbyt fajne dla usera i szczerze to widzę (i pracuję na co dzień) z innymi, wg mnie lepszymi metodami.

Aczkolwiek to co podałeś też można spotkać produkcyjnie, np. w niektórych bankach tak właśnie zachowuje się apka. Swojego czasu miałem konto w eurobanku i właśnie takie oczekiwanie tam było, kiedyś raz się na to naciąłem i chyba aż na 30 minut mnie zblokowali z tego co pamiętam, ale nie wiem jak teraz mają bo już ni korzystam z ich usług.

Podobne pytania

0 głosów
1 odpowiedź 255 wizyt
pytanie zadane 11 listopada 2022 w PHP przez mrc Nowicjusz (200 p.)
0 głosów
1 odpowiedź 217 wizyt
pytanie zadane 20 października 2022 w PHP przez Olafisz Nowicjusz (230 p.)
0 głosów
3 odpowiedzi 631 wizyt
pytanie zadane 28 lipca 2020 w PHP przez x_000 Obywatel (1,460 p.)

92,452 zapytań

141,262 odpowiedzi

319,077 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...