security - موقع - أفضل طريقة للحد(وتسجيل) محاولات تسجيل الدخول



login captcha (6)

ومن الواضح أن نوعا من آلية للحد من محاولات تسجيل الدخول هو شرط أمني. بينما أنا أحب مفهوم الوقت المتزايد بشكل كبير بين المحاولات، ما أنا لست متأكدا من تخزين المعلومات. أنا مهتم أيضا في حلول بديلة، يفضل أن لا تشمل كابتشاس.

أنا التخمين ملف تعريف الارتباط لن تعمل بسبب حظر الكوكيز أو مسحها تلقائيا، ولكن هل جلسات العمل؟ أو هل يجب أن يتم تخزينها في قاعدة بيانات؟ كونها غير مدركة ما هي الأساليب التي يمكن استخدامها / لذلك أنا ببساطة لا أعرف ما هو عملي.

https://ffff65535.com


أنت تعرف أي المستخدم يتم ضرب، والحفاظ على العلم وعندما تصل إلى قيمة عتبة ببساطة التوقف عن قبول أي شيء لذلك المستخدم. ولكن هذا يعني أنك تخزن قيمة بيانات إضافية لكل مستخدم.

أنا أحب مفهوم الوقت المتزايد بشكل متزايد بين المحاولات، [...]

بدلا من استخدام الوقت المتزايد بشكل كبير، هل يمكن أن يكون في الواقع تأخر العشوائية بين المحاولات المتعاقبة.

ربما إذا شرحت ما هي التكنولوجيا التي تستخدم الناس هنا سوف تكون قادرة على مساعدة مع أمثلة أكثر تحديدا.


استخدم بعض الأعمدة في جدول المستخدمين 'fail_login_attempts' و 'fail_login_time'. أول زيادة واحدة في تسجيل الدخول الفاشلة، وإعادة تعيين على تسجيل الدخول الناجح. والثاني يسمح لك لمقارنة الوقت الحالي مع آخر وقت فشل.

يمكن أن تستخدم الشفرة هذه البيانات في ديسيبل لتحديد المدة التي تنتظرها لتأمين المستخدمين، والوقت بين تسجيلات الدخول المسموح بها وما إلى ذلك


على افتراض جوجل قد فعلت اختبار سهولة الاستخدام اللازمة (وليس افتراض غير عادل) وقررت استخدام كابتشاس، أود أن أقترح الذهاب معهم.

زيادة مهلات محبطة عندما أكون مستخدما حقيقيا ونسيت كلمة المرور الخاصة بي (مع العديد من المواقع وكلمات المرور المرتبطة بها التي تحدث الكثير، وخاصة بالنسبة لي)


قد ترغب في القول منع تسجيل الدخول لبعض الوقت يقول على سبيل المثال، بعد 10 دقائق من 3 محاولات الفشل على سبيل المثال. زيادة الوقت أضعافا مضاعفة يبدو لي جيدة. ونعم، تخزين المعلومات في الجلسة جانب الخادم أو قاعدة البيانات. قاعدة البيانات أفضل. لا عمل الكوكيز كما أنه من السهل التلاعب من قبل المستخدم.

قد تحتاج أيضا إلى تعيين مثل هذه المحاولات ضد أدرس إب العميل كما أنه من الممكن تماما أن المستخدم صالح قد تحصل على رسالة محظورة بينما شخص آخر يحاول تخمين كلمة مرور المستخدم صالح مع محاولات الفشل.


قفل السياسة هو كل شيء جيد وجيد ولكن هناك توازن.

أحد الاعتبارات هو التفكير في ترسيم أسماء المستخدمين - يمكن تخمينها؟ هل يمكن تعدادهم على الإطلاق؟

كنت على اختبار القلم التطبيق الخارجي ل دوتكوم مع بوابة الموظف الذي خدم أوتلوك ويب أسيس / إنترانت الخدمات، تطبيقات معينة. كان من السهل تعداد المستخدمين (فريق إيكسيك / ماناغامنت على موقع الويب نفسه، ومن خلال أمثال جوجل، الفيسبوك، ينكدين الخ). مرة واحدة كنت حصلت على شكل تسجيل الدخول اسم المستخدم (الاسم الأول ثم سورنام دخلت كسلسلة واحدة) كان لي القدرة على اغلاق 100 من المستخدمين بها بسبب 3 الضربات والخروج السياسة.


الإجابات في هذا المنصب الأولوية حلول قاعدة مركزية تركز لأنها توفر بنية السجلات التي تجعل التدقيق و تأمين المنطق مريحة.

في حين أن الأجوبة هنا تعالج التخمين الهجمات على المستخدمين الفرديين، مصدر قلق كبير مع هذا النهج هو أنه يترك النظام مفتوحا للهجمات الحرمان من الخدمة . أي وكل طلب من العالم لا ينبغي أن يؤدي عمل قاعدة البيانات.

وينبغي تنفيذ طبقة بديلة (أو إضافية) من الأمن في وقت سابق في دورة ريق / ريس لحماية التطبيق وقاعدة البيانات من تنفيذ عمليات القفل التي يمكن أن تكون مكلفة وغير ضرورية.

إكسبريس-بروت هو مثال ممتاز يستخدم ريديس التخزين المؤقت لتصفية الطلبات الخبيثة في حين السماح صادقة منها.





captcha