AFAIK la pratica raccomandata per mitigare gli attacchi a forza bruta consiste nel bloccare un account per, diciamo, 15 minuti (forse un'escalation del tempo di lockout se l'attacco continua dopo?) dopo, diciamo, 5 tentativi di accesso falliti.
Capisco il ragionamento (mitigazione della forza bruta) ma c'è ancora una cosa che mi preoccupa. Vale a dire, questo non rende il sito vulnerabile ai blocchi degli account dannosi?
Versione meno severa: a un piccolo troll non piace l'utente X, quindi inseriscono una password banalmente sbagliata per l'account X 5 volte di seguito. Ripeti dopo 15 minuti.
Versione più severa: attacco DOS in piena regola, attacco automatico "forza bruta" contro gli utenti attivi di recente del sito Web esclusivamente allo scopo di attivare il meccanismo di blocco. Diciamo che il sito ha circa 1000 accessi al giorno; attacco contro gli utenti che hanno effettuato l'accesso nell'ultima settimana = al massimo 7000 account, molto meno in realtà, diciamo solo 3500; 5 tentativi di accesso = 17500 tentativi di accesso, non lo so, ma questo sembra sicuramente fattibile, non è vero? E questo è già un sito molto popolare: per i siti Web più vulnerabili a tali attacchi (forum su Internet?) Questi numeri potrebbero addirittura essere inferiori di due ordini di grandezza!
Non capisco questa pratica. Non attenua gli attacchi di cracking delle password a forza bruta a costo di aprire vulnerabilità evidenti agli attacchi DOS?