Necesito ayuda para determinar qué tan seguro es el inicio de sesión. En primer lugar, he estado leyendo esto:
La guía definitiva para la autenticación de sitios web basada en formularios
Está realmente bien escrito, la mayor parte de la información era información completamente nueva o más detallada de lo que sabía anteriormente. Sin embargo, en mi situación, no puedo decidir si es útil o no.
El problema es:
- Tengo un inicio de sesión que será utilizado por 1 - 3 personas como máximo, con sus contraseñas distribuidas de antemano. El inicio de sesión será en línea, pero funcionará más como un inicio de sesión de red cerrado, no estando disponible para el público global que visita el sitio web con enlaces en los que se puede hacer clic - > (pero con la modificación de la barra de direcciones para agregar / admin para que los administradores puedan acceder a ella.
- Con eso hecho, la experiencia del usuario es necesaria incluso para un puñado de personas. Quiero poner un "Recordarme" espantoso para que, aunque solo usen el inicio de sesión para acceder a la página de administración, no tengan que iniciar sesión cada vez.
- El problema surge cuando una situación real hoy es cuando alguien se carga accidentalmente a la página de inicio de sesión o de administración. De cualquier manera, ya que él / ella no ha iniciado sesión, la página lo remitirá a la página de inicio de sesión. Para la población global que realmente fue allí por accidente, pondré un enlace de "Regreso al hogar", pero la preocupación es si esa persona intenta atacar de manera brutal o peor.
- Pensé en los FILTROS IP, pero no sé qué tan bueno será eso, hoy en día no hay ningún esfuerzo para cambiar una DIRECCIÓN IP. Pensé en el bloqueo de sesión con valores de base de datos en el inicio de sesión, pero eso bloquearía todo el inicio de sesión durante X cantidad de tiempo (y si la fuerza bruta continúa, los administradores nunca podrán iniciar sesión, ya que el bloqueo se volverá a activar después de la X Tiempo con los ataques brutales). Pensé en captcha, pero ¿eso no me recordaría?
- No me gusta la falsa esperanza de que nadie intente piratear un sitio web inocente o que haga un spam. Esa es la realidad de hoy. Solo quiero escuchar si tienes una manera mejor de lo que creo. Si es así, por favor, díganlo.