Bloquear la cuenta por un tiempo limitado y desbloquear automáticamente

0

Si un usuario no se autentica una y otra vez, su cuenta se bloqueará debido a ciertas condiciones.

Pero me pregunto cuál sería la mejor práctica o una buena práctica para desbloquear automáticamente la cuenta.

Estoy pensando en esto:

Solución A

¿Debo bloquear la cuenta durante 5 minutos o una hora y "ignorar" por completo lo que sucede durante esta hora y permitir que la cuenta pueda volver a utilizarse después de este tiempo de espera?

o

Solución B

Debo tener en cuenta lo que sucede durante este tiempo de espera de una hora como: Si la cuenta todavía está bloqueada forzadamente la cuenta por otra hora.

¿Puedo confiar en que la cuenta se bloqueará de inmediato inmediatamente después de esta hora?

¿Qué piensas de esto?

    
pregunta cornelinux 07.07.2017 - 10:55
fuente

2 respuestas

1

Lo que estás sugiriendo es un límite de tasa por cuenta: un contador en una cuenta individual.

Este artículo describe una serie de diferentes estrategias que probablemente querrás emplear en paralelo:

  • por fuente tasa límite: limita la tasa de intentos de inicio de sesión de una IP o bloqueo de IP a cualquier cuenta
  • por cuenta límite de velocidad: limita el número de IP que pueden intentar iniciar sesión en una cuenta en particular en un período determinado.
  • límite de velocidad global : limita el número máximo general de intentos de inicio de sesión de cualquier fuente a cualquier cuenta

Cuidado : si crea largos periodos de bloqueo en una hora, hace que sea muy fácil para un atacante denegar el servicio a sus usuarios. Todo lo que tienen que hacer es crear algunos errores de inicio de sesión cada hora y el usuario nunca podrá iniciar sesión. La combinación de los límites de tasa anteriores es un mejor enfoque.

Otras cosas que harán tu vida más fácil:

  • implemente el límite de velocidad en todas partes que un usuario puede autenticar, no olvide el punto final de "restablecimiento de contraseña" que valida la contraseña anterior. Es muy común que las aplicaciones limiten la velocidad de la pantalla de inicio de sesión principal pero dejan otros puntos finales ilimitados.

  • fomente las buenas contraseñas con un medidor de entropía (fortaleza de la contraseña). Tal vez incluso imponer una cierta fuerza del lado del servidor. zxcvbn es excelente y de código abierto.

respondido por el Paul M Furley 08.07.2017 - 01:54
fuente
2

El objetivo de este mecanismo de bloqueo de cuenta es limitar el número de intentos de contraseña en un período de tiempo para mitigar los ataques de fuerza bruta. Así que debes pensar en cuántos intentos quieres permitir en un cierto marco de tiempo. ¿Qué solución utilizas no es tan importante para la seguridad?

    
respondido por el 40F4 07.07.2017 - 15:59
fuente

Lea otras preguntas en las etiquetas