Attualmente sto lavorando alla riprogettazione di una pagina di accesso. Inizialmente ho suggerito di limitare il login in base al quale le pause (incrementale - in numero di secondi) vengono introdotte tra ogni tentativo di accesso fallito. L'idea è che questo ci permetterà di evitare il blocco dell'account e di dare agli utenti il tempo di pensare a resettare la loro password e anche a contrastare qualsiasi attacco di forza bruta .
Il team di sviluppo ha suggerito che la limitazione dell'accesso non aiuterà a prevenire attacchi di forza bruta, ma si verificherà un blocco temporaneo. Il blocco temporaneo funziona allo stesso modo, tranne che le pause introdotte sono (incrementale - in numero di minuti e ore) quindi sono un po 'confuso ... di seguito è riportato un esempio di come IBM QuickFile consente l'accesso a essere configurato:
Quindihounaseriedidomande:
Èunbloccotemporaneosolounaltrotermineperlalimitazionedell'accesso?
Qualèladifferenzatralimitazionedell'accessoebloccotemporaneo?Sonougualimausanodiversiparametridiconfigurazione.peresempio3-6-12secondivs5-10-20minuti?
Qualisonoleimplicazionisullaprogettazionedelleinterazionichedevoprendereinconsiderazionequandosiadottaunmeccanismodibloccotemporaneo?Possofarsapereall'utentequandosaràingradodiriprovare?Forseusandoqualcheformadiindicatorevisivo?
Qualisonoitempidifotogrammapiùadattiperlepausetratentatividiaccessofallitichenonvanificanol'utentefinale?
Questo post su stakoverflow sembra suggerire secondi anziché minuti -
Che impatto ha su Denial of Service ?
Aggiornamento: chiarimenti
Un po 'di più per chiarire! quando un Login fallisce, il pulsante "try again" viene disabilitato per una durata di 3 secondi, dopo di che è abilitato. L'utente tenta di accedere nuovamente e fallisce, il pulsante "try again" diventa inattivo per 6 secondi.
Il processo viene ripetuto per 5 tentativi consecutivi e i messaggi di errore indirizzano gli utenti a reimpostare la propria password.Al quinto tentativo gli utenti vengono presentati con una schermata di reimpostazione della password.
D'altra parte gli utenti potrebbero tentare di accedere e avere un numero specificato di tentativi dopo di che l'account è "bloccato" per un periodo di tempo, diciamo 5 minuti che aumenta a 10 minuti dopo un altro gruppo di tentativi.
Grazie