Ho bisogno di aiuto per determinare la sicurezza dell'accesso. Prima di tutto, ho letto questo:
La guida definitiva all'autenticazione del sito Web basata su moduli
È molto ben scritto, ottime informazioni, molte delle quali erano completamente nuove o più dettagliate di quanto sapessi in precedenza. Tuttavia, nella mia situazione, non posso decidere se è utile o meno.
Il problema è:
- Ho un accesso che verrà utilizzato da 1 a 3 persone al massimo, con le password distribuite in anticipo. Il login stesso sarà online, ma funzionerà più come un login di rete chiuso, non essendo disponibile per il pubblico globale che visita il sito web con link cliccabili ad esso - > (ma con la modifica della barra degli indirizzi da aggiungere / admin in modo che gli amministratori possano accedervi.
- A tal fine, è necessaria l'esperienza dell'utente anche per una manciata di persone. Voglio mettere un terribile "Remember Me" in modo che, mentre solo loro useranno il login per accedere alla pagina di amministrazione, non devono effettuare il login ogni volta.
- Il problema sorge quando una situazione reale oggi è a qualcuno che accusa accidentalmente la pagina di accesso o di amministrazione. In ogni caso, dal momento che non ha effettuato l'accesso, la pagina lo inoltrerà alla pagina di accesso. Per la popolazione globale che è andata davvero lì accidentalmente, inserirò un link "Return to Home", ma la preoccupazione è che quella persona cerchi di attaccare brutalmente, o peggio.
- Ho pensato ai FILTRI IP ma non so quanto sarà bello, oggi non è assolutamente necessario modificare un INDIRIZZO IP. Ho pensato al blocco Session con i valori DB al login, ma questo avrebbe bloccato l'intero login per X quantità di tempo (e se la forza bruta continua, gli amministratori non saranno mai in grado di accedere, perché il blocco si riattiverà dopo la X tempo con gli attacchi brutali). Ho pensato al captcha, ma non sarebbe stato per contrastare il ricordo di me?
- Non mi piace la falsa speranza che nessuno possa nemmeno tentare di hackerare un sito innocente, o spacciarlo. Questa è la realtà oggi. Voglio solo sapere se hai un modo migliore di quello che penso. Se è così, per favore, dillo.