Come aggiungere sicurezza alla pagina di accesso

I blocchi dopo un determinato numero di accessi non riusciti creano una condizione DoS, in cui un utente malintenzionato può impedire a chiunque di effettuare l'accesso. È inoltre necessario tenere conto degli attacchi a basso impatto, in cui un utente tenta le 3 password più deboli su ogni account singolo.

Dovresti creare un sistema che aumenti il ritardo tra i tentativi di accesso consentiti fino a un certo limite. Una scelta comune è 1 secondo dopo il primo errore, 5 secondi dopo il secondo, 20 dopo il terzo e 45 secondi per tutti i tentativi successivi. Questo dovrebbe essere il caso per account e per-IP.

Le immagini CAPTCHA sono in genere inutili, dal momento che puoi pagare le persone nel 3 ° mondo minuscole somme di denaro per risolverle o impostare attacchi di phishing per indurre gli utenti ignari a riempirle per te. Inoltre, gli utenti li trovano fastidiosi e spesso non sono risolvibili nemmeno dagli umani.

Consiglio vivamente di dare un'occhiata a La guida definitiva al sito Web basato su moduli Autenticazione per una descrizione dettagliata e approfondita dei metodi di sicurezza che dovresti prendere in considerazione.

Alcuni siti fanno captcha dopo alcuni tentativi, che possono essere saggi. Potresti anche bloccare.

Se vuoi che il tuo sito sia sicuro, una cosa che ti serve è un certificato SSL economico come pochi dollari da: Namecheap o SSL del globo . Ciò impedirà l'invio delle tue credenziali su Internet come testo semplice.

Inoltre, assicurati che il tuo sito sia protetto da SQL injection, scripting cross-domain, session jacking e che il flag di sicurezza sia impostato su qualsiasi cookie.

Ciò fornirebbe un accesso di base sicuro al sito.