¿Está captcha en el enésimo intento de inicio de sesión realmente se detiene los bots?

Navega tus respuestas
3

Tengo el requisito de mostrar google reCaptcha en el segundo intento en la pantalla de inicio de sesión.

Francamente hablando, considero que no es la forma de detener los bots.

Porque en el lado del servidor no puedo decir si este es el primer o el segundo intento de inicio de sesión a menos que el usuario elija enviar algún tipo de cookie junto con la solicitud para poder identificar qué número de intentos de inicio de sesión está intentando, por lo que el protocolo HTTP es sin estado en la naturaleza.

Y creo que los robots no son estúpidos para enviar alguna cookie que haga que el servidor descubra cualquier información sobre ellos.

Escuché acerca de algunas soluciones sofisticadas como un script js para ejecutarse en la página de inicio de sesión para generar un ID y luego enviar este ID al servidor y hacer que el servidor verifique este ID, pero aún así un robot suficientemente inteligente puede Simula todas estas acciones. pero esto no es lo que estoy preguntando.

¿Algún consejo?

    
pregunta Muhammad Hewedy 25.01.2017 - 20:10
fuente

2 respuestas

3

El almacenamiento de la cantidad de inicios de sesión fallidos en la sesión o en la cookie no funciona. Como señalaste, el atacante simplemente puede eliminar la cookie. Una mejor manera es mantener el número de intentos de inicio de sesión fallidos en el servidor, correspondientes al nombre de usuario o la dirección IP utilizada. Si alguien ingresa las credenciales incorrectas, incrementa el contador para esa dirección IP o para ese nombre de usuario en el servidor. De esta manera el cliente no puede alterarlo.

    
respondido por el Sjoerd 25.01.2017 - 20:20
fuente
1

Nada detendrá completamente a los bots que intentan iniciar sesión, ese no es el objetivo.

El objetivo es limitar la cantidad de intentos que realizan estos robots a un nivel en el que es poco probable que adivinen correctamente, incluso si el usuario elige una contraseña relativamente débil.

Obviamente, no puede esperar que los bots le envíen una cookie, por lo que se necesita alguna otra forma de verificación, probablemente una combinación de límites por dirección IP, límites por nombre de usuario y límites para varios tamaños de bloqueo de IP.

    
respondido por el Peter Green 25.01.2017 - 21:31
fuente

Lea otras preguntas en las etiquetas

Algunas preguntas acerca de la clave temporal del grupo (GTK) en WPA / WPA2 ¿Son realmente eficaces las granjas de servidores Anti DDoS?