Mostrando CAPTCHA

Question

Mostrando CAPTCHA

#1 da (1 voti)
#2 da (0 voti)

0

Mi piacerebbe mostrare un CAPTCHA per prevenire i tentativi di forzatura bruta, ma stavo pensando di mostrarlo ogni volta che un utente fallisce per una combinazione nome utente / password non valida dopo X tentativi, indipendentemente dal fatto che quell'utente esista nel database o no .

Il pensiero era che se un utente esistesse, allora tutto ciò che un utente malintenzionato dovrebbe fare è registrare quali combinazioni di nome utente (dopo X tentativi) hanno visualizzato CAPTCHA vs no (e quindi in base a ciò, posso ottenere tutte le e -mails fuori dal database).

Quindi quindi mostrerei il captcha dopo x tentativi a prescindere.

ora, per tenerne traccia, suppongo che mi servirebbe una tabella di database che salvi letteralmente qualunque input l'utente abbia digitato, ma sembra un po 'eccessivo?

che qualcuno possa provare [email protected] in un paese e in un altro, ecc., e quindi una persona lo rovina perché tutti possano vederlo.

Potrei anche provarlo con [email protected] + indirizzo IP (quindi solo se hai provato X volte con un nome utente / password errato dal tuo IP corrente che mostrerebbe il CAPTCHA).

Pensi che dovrei memorizzare INDIRIZZO IP e usarlo come base per mostrare un CAPTCHA per un nome utente / password non valido? O dovrei semplicemente attenermi al testo usato universalmente per un certo periodo di tempo.

Grazie!

authentication captcha dictionary brute-force

posta GuestUser101 11.07.2014 - 18:06

fonte

2 risposte

Leggi altre domande sui tag authentication captcha dictionary brute-force

Il servizio di Tomcat tramite Apache Webserver migliora la sicurezza? Rendendo più difficile la scansione del codice QR sullo schermo da una distanza

score 1 · Answer 1

Un paio di cose da considerare:

Vuoi davvero nascondere gli ID / e-mail dei tuoi utenti? Vale la pena considerare se gli utenti potrebbero dimenticarsi del nome utente / email. Quando lo dimenticano, un modulo di accesso che dice "id o password errata" è terribilmente frustrante. Pensa alla frequenza con cui i tuoi utenti eseguono l'accesso e se invii loro eventuali fatture cartacee o lettere che devono essere archiviate (in tal caso puoi stamparle su un ID utente).
Blocco di un ID / email specifico per un po 'dopo ad es. 10 tentativi falliti sono necessari per prevenire il brute-forcing online, in effetti. Se già permetti agli utenti effettivi di reimpostare le loro password via e-mail, ricordati di avvertirli di una bruteforce via e-mail (incluso un link per riattivare il loro account), quindi se hanno bisogno di accedere possono farlo.
Non serve un CAPTCHA in modo sistematico è di fondamentale importanza. Gli utenti legittimi ottengono percentuali di insuccesso del 40% su CAPTCHA (citando fonti interne nel mio gruppo di ricerca, ma non ho URL per confermare, scusa!). Offrire CAPTCHA a un utente malintenzionato che ha come target un ID specifico probabilmente non è utile perché puoi semplicemente bloccare l'account e avvisare l'utente.
L'utilizzo di CAPTCHA per IP può essere utile per bloccare le persone che cercano password comuni per molti indirizzi e-mail. Pensa se hai una grande base di utenti che si trova in un'università o una grande azienda che condividono un indirizzo IP, però. Se hai bisogno di visualizzare un CAPTCHA, informa gli utenti che ciò è dovuto al grande traffico dal loro indirizzo IP.

score 0 · Answer 2

L'uso di CAPTCHA non impedirà necessariamente a qualcuno di forzare gli account utente forzati. Aggiunge solo un altro ostacolo per superare. Una volta che l'attaccante ha sviluppato un modo automatico per rispondere correttamente al CAPTCHA, proseguirà la forzatura bruta.

Ci sono diversi modi per prevenire i tentativi di forzatura bruta contro gli account utente, ma credo che l'approccio più efficace sia il blocco degli utenti. Fornire a un utente cinque tentativi di accesso e quindi offrire loro l'opportunità di avere il promemoria della password o di reimpostare il link della password inviato a loro è accettabile. Una volta che l'attaccante si rende conto che i suoi attacchi stanno fallendo dopo solo cinque tentativi, molto probabilmente passerà a un obiettivo più facile.

In alternativa, se non stai davvero cercando di fermare gli attacchi di forza bruta, ma stai cercando di capire chi ti sta attaccando, allora sì, vorrai monitorare e memorizzare le informazioni relative agli attacchi.