Cómo agregar seguridad a la página de inicio de sesión

3

Estoy creando un sitio web donde los usuarios deben iniciar sesión para utilizar todas las funciones. El formulario de inicio de sesión se coloca en la página de destino, pero el inicio de sesión real pasa por una segunda página, login.php. Si un usuario escribe algo incorrecto, el usuario se redirige a login.php.   En login.php, el formulario de inicio de sesión aparece nuevamente junto a un mensaje de error como "Combinación incorrecta de contraseña / nombre de usuario".

Estoy tratando de hacer que el sitio web sea lo más seguro posible para los piratas informáticos, y mi pregunta es, ¿tendría sentido si pongo una imagen captcha en la página de inicio de sesión que el usuario debe completar para cada intento de inicio de sesión, o ¿Será más molesto que útil?

    
pregunta DannyCruzeira 01.08.2012 - 19:21
fuente

2 respuestas

8

Los bloqueos después de un número establecido de inicios de sesión fallidos crean una condición DoS, en la que un atacante puede evitar que cualquiera pueda iniciar sesión. También debe tener en cuenta los ataques de poca importancia, donde un atacante intenta las 3 contraseñas más débiles de cada cuenta única.

Debería crear un sistema que incremente la demora entre los intentos de inicio de sesión permitidos hasta un cierto límite. Una opción común es 1 segundo después del primer fallo, 5 segundos después del segundo, 20 después del tercero y 45 segundos para todos los intentos posteriores. Este debería ser el caso por cuenta y por IP.

Las imágenes de CAPTCHA generalmente son inútiles, ya que puede pagarle a las personas en el 3er mundo minúsculas cantidades de dinero para resolverlas, o configurar ataques de phishing para que usuarios confiados las completen por usted. Además, los usuarios los encuentran molestos y a menudo no son solucionables incluso por los humanos.

Recomiendo encarecidamente visitar La Guía Definitiva del sitio web basado en formularios Autenticación para obtener una descripción detallada y exhaustiva de los métodos de seguridad que debe considerar.

    
respondido por el Polynomial 01.08.2012 - 21:13
fuente
0

Algunos sitios hacen captcha después de algunos intentos, lo que puede ser sabio. También podrías hacer cierres patronales.

Si desea que su sitio esté seguro, una de las cosas que necesitará es un certificado SSL tan barato como unos pocos dólares de: Namecheap o Globe SSL . Esto evitará que sus credenciales se envíen a través de Internet como texto simple.

Además, asegúrese de que su sitio esté protegido contra la inyección de SQL, las secuencias de comandos entre dominios, el secuestro de sesiones y que el indicador de seguridad esté activado en cualquier cookie.

Eso proporcionaría un inicio de sesión seguro básico.

    
respondido por el Travis Pessetto 01.08.2012 - 20:47
fuente

Lea otras preguntas en las etiquetas