Modifica: Come mi viene chiesto di chiarire questa domanda, lo dirò in una frase: qual è una buona politica di blocco per le applicazioni web, perché, da che cosa dipende?
È difficile trovare una best practice riguardante le politiche di blocco degli account. Windows suggerisce di bloccare un account dopo da 4 a 10 tentativi falliti
PCI utilizza i seguenti criteri minimi:
- User accounts are temporarily locked-out after not more than six invalid access attempts.
- Once a user account is locked out, it remains locked for a minimum of 30 minutes or until a system administrator resets the account.
Drupal ha i seguenti valori di default che sono ancora usati oggi:
Drupal 7 prevents brute force attacks on accounts. It blocks login b y a user that has more than 5 failed login attempts (within six hours) or an IP address that has more than 50 failed login attempts (within one hour).
Qualcuno ha altre buone pratiche che posso aggiungere? Mi piacerebbe avere una discussione aperta sull'argomento e provare a trovare una serie di linee guida per una politica di lockout decente che bilancia sicurezza, usabilità, rifiuto del servizio.