Cómo agregar seguridad a la página de inicio de sesión

Los bloqueos después de un número establecido de inicios de sesión fallidos crean una condición DoS, en la que un atacante puede evitar que cualquiera pueda iniciar sesión. También debe tener en cuenta los ataques de poca importancia, donde un atacante intenta las 3 contraseñas más débiles de cada cuenta única.

Debería crear un sistema que incremente la demora entre los intentos de inicio de sesión permitidos hasta un cierto límite. Una opción común es 1 segundo después del primer fallo, 5 segundos después del segundo, 20 después del tercero y 45 segundos para todos los intentos posteriores. Este debería ser el caso por cuenta y por IP.

Las imágenes de CAPTCHA generalmente son inútiles, ya que puede pagarle a las personas en el 3er mundo minúsculas cantidades de dinero para resolverlas, o configurar ataques de phishing para que usuarios confiados las completen por usted. Además, los usuarios los encuentran molestos y a menudo no son solucionables incluso por los humanos.

Recomiendo encarecidamente visitar La Guía Definitiva del sitio web basado en formularios Autenticación para obtener una descripción detallada y exhaustiva de los métodos de seguridad que debe considerar.

Algunos sitios hacen captcha después de algunos intentos, lo que puede ser sabio. También podrías hacer cierres patronales.

Si desea que su sitio esté seguro, una de las cosas que necesitará es un certificado SSL tan barato como unos pocos dólares de: Namecheap o Globe SSL . Esto evitará que sus credenciales se envíen a través de Internet como texto simple.

Además, asegúrese de que su sitio esté protegido contra la inyección de SQL, las secuencias de comandos entre dominios, el secuestro de sesiones y que el indicador de seguridad esté activado en cualquier cookie.

Eso proporcionaría un inicio de sesión seguro básico.