Rifiuta la password corretta al primo tentativo

0

Stavo pensando alla sicurezza delle password e ho pensato a un possibile modo per rallentare gli attacchi di forza bruta.

Il processo di accesso immaginario dovrebbe semplicemente rifiutare le password una o due volte, anche quando sono corrette. Mentre questo è UX male e deve essere spiegato all'utente, indebolisce la possibilità di rendere facili le password indovinate dagli attacchi del dizionario ecc. Almeno dal fattore 2 o 3.

Ci sono altri aspetti negativi, oltre alla menzionata UX errata?

Aggiunta:

Che cosa pensi degli impatti positivi riguardo

  • phishing
  • Ingegneria sociale

Le password rubate non funzionavano al primo tentativo. A seconda della conoscenza degli hacker sul sistema, anche le password rubate con successo potrebbero essere contrassegnate come "non funzionanti".

Per salvare UX, potrebbe semplicemente apparire su dispositivi sconosciuti.

Svantaggi: sicurezza attraverso l'oscurità?

Fortunatamente, non ho intenzione di implementarlo come una "funzionalità", è più una questione di pensieri teorici.

    
posta Florian Senn 10.06.2017 - 11:26
fonte

1 risposta

3

Bad UX uccide la sicurezza. La maggior parte degli utenti cercheranno soluzioni alternative e combatterai con gli utenti invece di aiutarli / lavorare con loro.

Ti suggerisco di provare questa tecnica secolare. L'ho visto per primo nell'autenticazione Open-Radius e mi è piaciuto subito.

Usa una risposta temporizzata e ritardata. Ad esempio, anche se si completa rapidamente la verifica nel back-end, attendere un tempo casuale che si aggiunge a 1 secondo o giù di lì prima di rispondere all'utente. Ha molti vantaggi. Uno di questi è quello di scoraggiare la bruteforcing riducendo la velocità di attacco.

Tuttavia ha un piccolo costo. Se hai un sistema ad alto traffico, nelle ore di punta potresti avere troppe connessioni aperte. Questo non è un grosso problema se si configura il software per compensare.

    
risposta data 10.06.2017 - 11:36
fonte

Leggi altre domande sui tag