Mostra CAPTCHA dopo che n tentativi falliti sono stati meno sicuri? [duplicare]

Naviga le tue risposte
0

Il mio capo mi ha chiesto come avrei migliorato la strategia di accesso che hanno implementato al momento: introdurre utente, password e risolvere un captcha .NET dal primo tentativo.

Un team di sicurezza dell'auditor ha affermato che le nostre applicazioni web potrebbero essere vulnerabili agli attacchi di forza bruta, quindi le propongo di attuare la seguente strategia:

  1. Lascia che gli utenti introducano erroneamente l'utente e la password 3 volte.
  2. Dopo il terzo tentativo fallito, anche il captcha deve essere risolto.
  3. Dopo altri 3 tentativi falliti, l'utente verrà temporaneamente bloccato a livello IP (alcuni minuti).

L'ho proposto perché migliorerà anche un po 'l'usabilità. Gran parte dei nostri utenti sono anziani e per loro è fastidioso risolvere il captcha ogni volta che vogliono accedere.

Quindi, la mia domanda è: sarà più sicuro mostrare il captcha dall'inizio? Qualche tempo fa, molti siti Web usavano mostrarlo dopo n tentativi falliti, ma ora preferiscono assicurarsi che l'utente non sia un robot ogni volta che vuole essere autenticato. C'è qualche ragione per farlo davvero?

    
posta user3145085 18.05.2017 - 22:23
fonte

5 risposte

1

Se la forzatura bruta è la tua preoccupazione principale, puoi farlo apparire dopo 5 tentativi o forse addirittura 10. Se qualcuno ha provato 5 varianti della loro password, sembra abbastanza ragionevole avere un captcha, anche con gli utenti anziani.

Quando parli di forza bruta potremmo parlare di centinaia di tentativi in pochi secondi, quindi sarebbe ancora utile attenuarlo.

    
risposta data 18.05.2017 - 22:31
fonte
1

Il blocco IP non è una grande idea; troppi posti usano NAT e / o proxy per servire un gran numero di persone (Internet café e altre reti di accesso pubblico o accesso condiviso, imprese, complessi residenziali, NAT Carrier-grade per aree con pochissimi indirizzi IPv4 allocati, ecc.). Ciò rende il blocco basato su IP un vettore denial-of-service contro tutti gli altri che utilizzano lo stesso indirizzo IP esterno.

L'utilizzo di un CAPTCHA dopo N tentativi falliti (dove N è di solito nell'intervallo [1-5]) è sufficiente per bloccare i tentativi di forzatura bruta senza rischiare DoS per i tuoi utenti legittimi.

    
risposta data 18.05.2017 - 23:27
fonte
0

Sono enormemente a favore di quello che stai facendo. Puoi anche farlo 5 fallisce = CAPTCHAs, 10 fallimenti = bannare l'ip o account per 1h (o forzare il recupero della posta elettronica). Gli aggressori hanno spesso accesso a più IP (usando proxy, tor, macchine compromesse, ecc.), Quindi non mi piace il blocco a livello IP.

Ma i dettagli a parte, i siti più importanti fanno esattamente questo: Google, Facebook e altri consentono un paio di ipotesi errate prima di mostrare un captcha. E io sono al 100% a favore!

    
risposta data 18.05.2017 - 22:42
fonte
0

Basta implementare un captcha e un blocco IP dopo un numero n di tentativi come suggerito. Se riesci a fare Google ReCaptcha, ciò sarebbe meno complicato per gli utenti anziani e fermerebbe comunque efficacemente i bot.

In definitiva, l'unico modo per rilevare veramente un compromesso è monitorare l'attività dell'account. Supponiamo che l'utente malintenzionato abbia socialmente progettato un utente, quindi utilizzi tale credenziale per accedere - non ha mai colpito uno dei tuoi controlli. Assumi sempre che i tuoi utenti possano essere socialmente progettati.

    
risposta data 18.05.2017 - 22:50
fonte
0

Puoi imparare molto dalle tecniche tipicamente usate in fail2ban. Per esempio. Tenta i tentativi di login e ritarda la risposta ad ogni tentativo di accesso per rendere più lento l'uso di strumenti automatici. Soprattutto dove questo può essere combinato con provare più accessi e password diversi.

Monitoraggio dei tuoi account utente come è stato menzionato e poi intraprendere azioni basate su questo.

es. Blocca l'account utente

A seconda dell'applicazione, considera anche l'utilizzo dell'autenticazione a 2 fattori per impostazione predefinita per i login

    
risposta data 18.05.2017 - 23:50
fonte

Leggi altre domande sui tag

MITM attacca il problema di spoofing del DNS [chiuso] Come nascondere o crittografare il config.php o il webconfig o il database? [chiuso]