Linee guida per i criteri di blocco degli account [chiusa]

0

Modifica: Come mi viene chiesto di chiarire questa domanda, lo dirò in una frase: qual è una buona politica di blocco per le applicazioni web, perché, da che cosa dipende?

È difficile trovare una best practice riguardante le politiche di blocco degli account. Windows suggerisce di bloccare un account dopo da 4 a 10 tentativi falliti

PCI utilizza i seguenti criteri minimi:

  • User accounts are temporarily locked-out after not more than six invalid access attempts.
  • Once a user account is locked out, it remains locked for a minimum of 30 minutes or until a system administrator resets the account.

Drupal ha i seguenti valori di default che sono ancora usati oggi:

Drupal 7 prevents brute force attacks on accounts. It blocks login b y a user that has more than 5 failed login attempts (within six hours) or an IP address that has more than 50 failed login attempts (within one hour).

Qualcuno ha altre buone pratiche che posso aggiungere? Mi piacerebbe avere una discussione aperta sull'argomento e provare a trovare una serie di linee guida per una politica di lockout decente che bilancia sicurezza, usabilità, rifiuto del servizio.

    
posta Silver 25.04.2017 - 14:57
fonte

2 risposte

4

Le linee guida NIST dicono questo:

the verifier SHALL effectively limit online attackers to no more than 100 consecutive failed attempts on a single account.

100 tentativi sembrano piuttosto alti rispetto ai cinque o sei tentativi citati. Tuttavia, a quanto pare il NIST pensa ancora che sia adeguato. C'è una grande differenza tra "al massimo 100 tentativi" e "un numero infinito di tentativi". A meno che la tua password sia "123456" o "qwerty" o "password", ci vogliono molte migliaia di tentativi per forzare una password.

Allo stesso tempo, è abbastanza comune che gli utenti inseriscano erroneamente la propria password un numero di volte.

Quindi penso che sia meglio impostare il limite piuttosto in alto, ma dal momento che questo bilancia la sicurezza contro l'usabilità non penso che ci sia una risposta "corretta" qui.

    
risposta data 25.04.2017 - 15:39
fonte
1

Ritengo che queste linee guida siano molto restrittive, specialmente quella di Drupal in cui tieni bloccato per diverse ore. Per me, l'obiettivo principale di una politica di blocco è impedire l'induzione della password. Pertanto non può essere discusso senza parlare delle politiche relative alle password. Nel caso di Drupal puoi usare facilmente reCaptcha che dovrebbe aiutare a difendersi dagli attacchi automatici.

Se assumiamo una politica di password decente:

  • Lunghezza minima di 6 caratteri
  • Non in una password elenco dei migliori 10.000
  • Non in / non contiene un elenco creato dall'utente (nome dell'azienda, nome utente, dati di nascita, ...)

Richiederemo oltre 10.000 tentativi di password per trovare la password di un utente. Allora perché permettiamo solo 5 tentativi? La stessa sicurezza può essere ottenuta quando si accettano 20 o 50 tentativi. Un utente può facilmente compilare 5 password errate e essere bloccato che è decrementale. Per raggiungere un limite di 50 probabilmente utilizzerai uno strumento.

Vorrei raccomandare una politica di blocco più permissiva se combinata con una politica di password decente E la mancanza di enumerazione utente possibilità.

Questo è solo il mio 2 centesimi, per favore commenta e rispondi.

    
risposta data 25.04.2017 - 14:57
fonte

Leggi altre domande sui tag