¿El bloqueo debe terminar la sesión?

Navega tus respuestas
1

Creo que está bien no terminar las sesiones existentes si el usuario está bloqueado debido a un número de intentos de inicio de sesión con la contraseña incorrecta. Debido a que podría ser un ataque y sería inconveniente terminar la sesión existente cada vez que esto ocurra.

Pero ¿qué pasa con el proceso de cambio de contraseña? Si se ingresa incorrectamente la contraseña anterior, se incrementará el contador de bloqueo, pero ¿debo terminar la sesión cuando se excede el límite? (¿O si ya se ha excedido?)

Y no estoy devolviendo el estado de bloqueo en caso de intentos de inicio de sesión fallidos debido a problemas de seguridad. ¿Debo devolver este estado al usuario en caso de que se cambie la contraseña?

    
pregunta John L. 15.01.2017 - 16:46
fuente

1 respuesta

2

Por lo general, los bloqueos de cuenta no terminan una sesión, de lo contrario, podría ser un escenario potencial de DOS. Para cambiar las contraseñas, la mayoría de las compañías con las que he trabajado, tampoco terminamos la sesión, pero contamos con un SIEM y un SOC que se comunican con el usuario por teléfono cuando eso sucede. Si tiene mitigaciones implementadas (como los intentos de inicio de sesión de monitoreo de SIEM / SOC, o cualquier tipo de análisis de comportamiento del usuario), diría que el riesgo de no implementar la terminación de la sesión en el bloqueo de la cuenta sería bajo.

    
respondido por el Ricardo Reimao 15.01.2017 - 18:52
fuente

Lea otras preguntas en las etiquetas

¿Existe un repositorio con diferentes archivos relacionados con SSL para realizar pruebas? lista las aplicaciones en ejecución que están vinculadas a una biblioteca comprometida