Il mio approccio è abbastanza buono per la protezione da forza bruta?

Come altri hanno già menzionato, attualmente il metodo consigliato per implementare il blocco è richiedere un Captcha solo dopo alcuni tentativi di accesso falliti. Questo metodo è valido sia dal punto di vista della sicurezza che dell'usabilità: il Captcha è molto efficace nell'arrestare gli attacchi automatici, ma solo dopo alcuni accessi non riusciti lo fa in modo che raramente gli utenti legittimi possano vederlo. (Un altro vantaggio è che nessuna persona reale è mai "veramente" bloccata, può continuare a provare fino a quando riesce a rispondere correttamente al Captcha, il che richiede tempo e fatica sufficienti a non essere considerato un rischio significativo per la sicurezza.) p>

Se vuoi davvero evitare Captcha completamente, entrambi i metodi che hai presentato funzionerebbero se implementati correttamente, ma nessuno dei due è ideale per l'usabilità. Se usi l'Opzione 1, qualcuno potrebbe bloccare intenzionalmente altri nomi utente, sia per causare problemi o per "vendicarsi" contro un altro utente. Se si tratta di un sito di piccole dimensioni, potrebbe non essere un grosso problema, ma se il sito è abbastanza grande è praticamente garantito che accada ad un certo punto.

L'opzione 2 è leggermente migliore, ma devi considerare gli indirizzi IP condivisi. Molte scuole e aziende hanno centinaia o migliaia di computer dietro un unico indirizzo IP pubblico, quindi se questo IP è bannato molti utenti legittimi potrebbero essere interessati.

Come pensi di implementare il blocco? È per nome utente o indirizzo di rete. Se considerate la prima opzione, tenete presente che l'attaccante può lanciare un attacco denial of service per qualsiasi numero di utenti validi (può semplicemente forzare brute un numero di (molto probabilmente) password non valide per ogni nome utente valido e quindi bloccare il rispettivo utente).

I tentativi di blocco sulla rete possono essere superati se l'attaccante lancia un attacco di forza bruta sincronizzato da (abbastanza) più workstation, ognuna con un indirizzo di rete diverso.

Cosa c'è di sbagliato nell'usare un captcha? È molto più semplice da implementare ed eviterà molti mal di testa futuri.

Hai ragione, l'unico modo per proteggersi dagli attacchi bruteforce è un blocco. Questo è sempre implementato quando lo spazio della password è molto piccolo, ad es. per i PIN a 4 cifre nelle carte bancarie o nelle SIM del telefono.

Fai attenzione poiché l'opzione # 1 (non consentire l'accesso dopo n tentativi di accesso non riusciti) può essere utilizzata come DoS per bloccare un cliente. Se vuoi farlo, dovresti mettere un CAPTCHA sul posto che passi dopo che m non ha avuto accesso, con m < n .

L'opzione n. 2 (la lista nera dell'indirizzo IP dopo n tentativi di accesso falliti) è molto meglio. Come implementarlo dipende dal sistema operativo del server; su Linux hai fail2ban .

Non sei sicuro di essere stato in grado di risolvere questo problema oppure no, ma il nostro prodotto offre entrambi. Abbiamo un dispositivo che filtra il tuo traffico.

Invece di dover inserire una sfida CAPTCHA ogni volta che viene richiesta un'istanza della pagina di accesso, eseguiamo l'analisi del richiedente per determinare se si tratta di un bot. Lo facciamo con un'impronta digitale a 200 punti e una serie di sfide per i browser. Se siamo certi che si tratta di un bot, eseguiamo una delle varie azioni (a seconda delle preferenze): blocco, CAPTCHA, pubblicazione di contenuti alternativi o monitoraggio.

I vantaggi sono: 1. Uso giudizioso di CAPTCHA mentre si prevengono i tentativi automatici di forza bruta 2. Un buffer che cancella il traffico tra Internet e la tua origine - che riduce il carico sul tuo sito.

In ogni caso, la società si chiama Distil Networks, abbiamo centinaia di clienti e contribuiamo a proteggere miliardi di dollari di entrate. Ecco dove ci puoi trovare se vuoi saperne di più: link

Ecco un pezzo che abbiamo fatto con alcuni clienti con problemi simili: link

Fammi sapere se hai qualche domanda. [email protected]