¿Qué algoritmo para la regulación de inicio de sesión?

4

Estoy a punto de agregar un acelerador a una página de inicio de sesión para evitar que sea brutalmente forzada.

Iba a usar el algoritmo leaky bucket para implementar el acelerador por usuario / IP. ¿Se considera esto correcto o hay un algoritmo diferente que se considera la mejor práctica para esta situación?

    
pregunta Jeremy French 12.01.2017 - 10:54
fuente

1 respuesta

3

Creo que debería ser más avanzado y debería tener en cuenta el origen de las solicitudes para evitar DOS. Lo más común es un bloqueo después de varios intentos, pero esto requiere un buen procedimiento de desbloqueo que sea seguro. Muchos sitios requieren un captcha o un segundo factor después de una cierta cantidad de intentos.

Siempre combine el bloqueo o la regulación con una política de contraseña segura. ¿Con qué frecuencia tendrá que adivinar un atacante basándose en esa política? Ese es un factor importante en el diseño de un mecanismo de bloqueo / regulación.

Un buen enfoque para proteger un inicio de sesión podría ser:

  • Política de contraseñas seguras
  • Captcha después de 5 intentos fallidos para un determinado usuario desde una determinada IP en 10 minutos.
  • Haga una lista negra de IP o active una alerta después de 100 intentos fallidos de una IP determinada.
respondido por el Silver 12.01.2017 - 11:34
fuente

Lea otras preguntas en las etiquetas