Domande con tag 'account-lockout'

domande con tag
2
risposte

Blocco account per proteggere dalla forza bruta: non apre vulnerabilità agli attacchi DOS? [duplicare]

AFAIK la pratica raccomandata per mitigare gli attacchi a forza bruta consiste nel bloccare un account per, diciamo, 15 minuti (forse un'escalation del tempo di lockout se l'attacco continua dopo?) dopo, diciamo, 5 tentativi di accesso falliti...
posta 16.11.2018 - 21:16
2
risposte

Come procedere dopo aver tentato di crackare i conti? [chiuso]

Sono stato svegliato oggi a 05:15 da una telefonata dalla mia banca, notificandomi che il codice PIN è XXXX. I non ha chiesto di modificare il mio codice PIN e, in realtà, non ho effettuato l'accesso al conto bancario per un po 'di tempo....
posta 18.04.2017 - 06:47
1
risposta

Protezione delle informazioni sui tentativi di password

Diciamo che sto creando un programma che funziona offline, quindi le informazioni sulle password devono essere archiviate localmente (lo so, non ottimale, ma questo è solo un mio progetto personale). In termini di sicurezza della password, ho pe...
posta 04.05.2017 - 17:26
2
risposte

Implicazioni della politica di modifica delle password rispetto alla disabilitazione degli account in Active Directory

C'è qualche indicazione che indica che il modo migliore per gestire i licenziati è di disabilitare gli account (almeno inizialmente) invece di modificare le password? Dato che AD supporta questa opzione, suppongo che questo sia l'unico modo supp...
posta 23.02.2017 - 18:34
2
risposte

In quali casi è necessario bloccare un utente dopo un certo numero di tentativi falliti?

Ho un'app Web. Gli utenti esistenti possono invitare nuovi utenti inviando una mail per scaricare l'app Web. Se l'utente fallisce 4 volte consecutive, blocco il calcolo per 5 minuti. Attualmente non ci sono informazioni importanti nell'app...
posta 02.07.2018 - 02:57
2
risposte

Sito Web che utilizza Windows integrato: l'utente può essere bloccato

Ho un sito Web che la cartella IIS è impostata su Windows, cioè l'autenticazione integrata di Windows. È disponibile dal proxy inverso quindi qualsiasi utente di Internet può accedere all'URL. Poi ricevono le credenziali. Supponiamo che conoscan...
posta 11.02.2017 - 00:36
1
risposta

Il blocco dovrebbe terminare la sessione?

Penso che sia corretto non terminare le sessioni esistenti se l'utente è bloccato a causa di un numero di tentativi di accesso con la password sbagliata. Perché potrebbe essere un attacco e sarebbe scomodo terminare la sessione esistente ogni vo...
posta 15.01.2017 - 16:46
1
risposta

Limitazione dei tentativi di accesso [duplicato]

Devo configurare un server che consenta accessi remoti. Ovviamente la sicurezza è un problema. In questo primo passaggio stiamo discutendo di: - Blocco di una persona per 15 minuti se non riescono ad accedere correttamente tre volte di seg...
posta 02.03.2015 - 15:35
1
risposta

Blocco di un account aziendale da un'applicazione Internet

Alcune applicazioni aziendali sono più utili quando sono accessibili da Internet. Mi viene in mente Outlook Web Access. Queste applicazioni di solito hanno una directory utente (solitamente LDAP) nell'ambiente aziendale che serve altri scopi,...
posta 07.08.2014 - 22:23
1
risposta

Un testo normale memorizzato come hash della password è un modo efficace per bloccare un account?

Sto costruendo un'app Web con Flask e ho account utente che memorizzano le loro password in una colonna String MySQL usando il metodo werkzeug.security generate_password_hash() . Volevo creare un account utente di comunità (simile a Sta...
posta 02.10.2018 - 23:29