Devo registrare password errate? [duplicare]

0

Ho un'applicazione web pubblica in cui chiunque può registrare un account. Le password che memorizzo sono salate e hash.

Quando qualcuno cerca di superare l'account di qualcun altro attraverso l'indovinare le password mi piacerebbe sapere questo. Per questo motivo desidero registrare tutti i tentativi di accesso non riusciti.

Penso che non sarebbe un problema registrare il tempo, l'indirizzo IP e il nome utente tentato. Ma sarebbe accettabile anche registrare la password sbagliata in testo in chiaro in modo da poter rilevare i pattern che l'utente malintenzionato sta provando o rischiare di essere in grado di dedurre le password corrette da tentativi di accesso errati da parte di utenti legittimi troppo grandi?

    
posta Philipp 22.02.2014 - 13:23
fonte

1 risposta

3

Apprezzo da dove vieni, ma in realtà è molto pericoloso in un sistema di produzione. Mentre potrebbe essere kosher se il 100% di tutti i tentativi di password falliti fossero in realtà persone malvagie casuali che tentano di entrare nel tuo sistema, il fatto è che un lotto di password errate sarà in realtà un utente legittimo che sta facendo errori di battitura semplici. E c'è il problema: se qualcuno riuscisse a ottenere una sospensione della cache delle password errate, probabilmente avrebbero un sacco di password legittime a malapena che altrimenti non avrebbero avuto modo di conoscere. In effetti, ogni utente che ha digitato male la propria password avrebbe drammaticamente indebolito il proprio account in caso di violazione - probabilmente fatale.

Registrare quali account ottengono password sbagliate, e con quale frequenza , può essere molto utile nel controllo. Quindi per quello, vai avanti. Basta non registrare le password fallite.

(In pratica, le password che ottieni dal fare ciò che stai proponendo sono probabilmente le stesse già disponibili per strumenti come John the Ripper. Se sei preoccupato che le password degli utenti vengano compromesse, è probabile che sufficiente per utilizzare uno strumento come John ed eseguire password conosciute contro i tuoi account utente.)

    
risposta data 22.02.2014 - 13:46
fonte

Leggi altre domande sui tag