Il blocco dovrebbe terminare la sessione?

Naviga le tue risposte
1

Penso che sia corretto non terminare le sessioni esistenti se l'utente è bloccato a causa di un numero di tentativi di accesso con la password sbagliata. Perché potrebbe essere un attacco e sarebbe scomodo terminare la sessione esistente ogni volta che questo accade.

Ma per quanto riguarda il processo di modifica della password? Immettendo la vecchia password errata si aumenterà il contatore del blocco ma dovrei interrompere la sessione quando viene superata la soglia? (O se è già stato superato?)

E non restituisco lo stato bloccato in caso di tentativi di accesso non riusciti a causa di problemi di sicurezza. Devo restituire questo stato all'utente in caso di cambio password?

    
posta John L. 15.01.2017 - 16:46
fonte

1 risposta

2

Solitamente i blocchi degli account non terminano una sessione, altrimenti potrebbe essere un potenziale scenario DOS. Per cambiare le password, la maggior parte delle aziende con cui ho lavorato, non abbiamo terminato la sessione, ma avevamo un SIEM e un SOC che avrebbero contattato l'utente via telefono quando ciò accadesse. Se si dispone di attenuazioni (ad esempio un tentativo di accesso al monitoraggio SIEM / SOC o qualsiasi tipo di analisi del comportamento degli utenti), direi che il rischio di non implementare la chiusura della sessione sul blocco degli account sarebbe basso.

    
risposta data 15.01.2017 - 18:52
fonte

Leggi altre domande sui tag

esegue sqlmap con la richiesta http post con i dati di codifica ruolo dell'ISP nello sconfiggere Dos DDoS