L'idea è di non accettare nemmeno la password corretta durante il blocco.
Ma prima di implementare un sistema di blocco, ha senso esaminare i casi di attacco:
un utente specifico è scelto come target
Se l'utente malintenzionato ha come target un utente specifico, negare o ritardare gli accessi dopo un paio di tentativi errati è utile. Un errore comune con l'approccio di ritardo non è quello di impedire i tentativi di login paralleli.
Un altro approccio comune è usare CAPTCHA per rallentare l'aggressore. Bisogna tenere a mente che molti CAPTCHA standard sono già guasti. Quando il voto del NY Times è stato manipolato, gli aggressori hanno creato un'interfaccia speciale che mostra molti CAPTCHA su una pagina.
L'attaccante può provare solo due tentativi di accesso ogni giorno per un lungo periodo di tempo (di fatto lo vediamo in Stendhal di tanto in tanto). Potrebbe essere utile visualizzare il numero di tentativi di accesso non riusciti dopo un accesso riuscito. È importante non dire "0 tentativi di accesso non riusciti" ogni volta perché questo insegnerà semplicemente alle persone a ignorare quel messaggio. Mostra solo l'avviso se c'è stato almeno un tentativo di accesso fallito.
Un elenco di indirizzi IP e timestamp degli ultimi tentativi di accesso (riusciti o meno) può essere d'aiuto, almeno per gli utenti che hanno a cuore la sicurezza e hanno un certo livello di conoscenza.
qualsiasi utente è target
Nei casi in cui viene tentato un numero molto elevato di accessi, gli aggressori spesso scelgono una password fissa e forza bruta i nomi degli account. Ciò significa che non verrà attivata una soglia di tre tentativi di accesso per account.
Pertanto, i tentativi di accesso falliti devono essere monitorati su base multipla, ad esempio in base agli indirizzi IP.
blocco di un numero elevato di utenti
L'implementazione delle misure dei contatori menzionate sopra crea una nuova vulnerabilità: un utente malintenzionato può bloccare un numero elevato di account. In alcuni casi ciò potrebbe causare danni molto maggiori a un sito rispetto a un numero limitato di account compromessi.
Il conteggio basato su IP può aiutare a mitigare questo vettore di attacco. Oppure può dare una leva in situazioni in cui molte persone si trovano dietro lo stesso server proxy (in un'università, in una wlan pubblica, ecc.)
blocco di un account specifico
Oltre all'ultima sezione, un utente malintenzionato può tentare di bloccare un account specifico. Ad esempio qualcuno che sta facendo un'offerta contro di loro su un'asta.
Potrebbe essere possibile utilizzare un secondo canale per consentire al proprietario dell'account di riattivare il suo account. Ad esempio inviando un messaggio di testo o un'email con un codice.