Il mio capo mi ha chiesto come avrei migliorato la strategia di accesso che hanno implementato al momento: introdurre utente, password e risolvere un captcha .NET dal primo tentativo.
Un team di sicurezza dell'auditor ha affermato che le nostre applicazioni web potrebbero essere vulnerabili agli attacchi di forza bruta, quindi le propongo di attuare la seguente strategia:
- Lascia che gli utenti introducano erroneamente l'utente e la password 3 volte.
- Dopo il terzo tentativo fallito, anche il captcha deve essere risolto.
- Dopo altri 3 tentativi falliti, l'utente verrà temporaneamente bloccato a livello IP (alcuni minuti).
L'ho proposto perché migliorerà anche un po 'l'usabilità. Gran parte dei nostri utenti sono anziani e per loro è fastidioso risolvere il captcha ogni volta che vogliono accedere.
Quindi, la mia domanda è: sarà più sicuro mostrare il captcha dall'inizio? Qualche tempo fa, molti siti Web usavano mostrarlo dopo n tentativi falliti, ma ora preferiscono assicurarsi che l'utente non sia un robot ogni volta che vuole essere autenticato. C'è qualche ragione per farlo davvero?