Directrices de la política de bloqueo de cuenta [cerrado]

0

Editar: Como me piden que aclare esta pregunta, la expresaré en una oración: ¿Cuál es una buena política de bloqueo para las aplicaciones web, por qué, de qué depende?

Es difícil encontrar una mejor práctica con respecto a las políticas de bloqueo de cuentas. Windows sugiere bloquear una cuenta después de 4 a 10 intentos fallidos

PCI utiliza los siguientes criterios mínimos:

  
  • Las cuentas de usuario se bloquean temporalmente después de no más de seis   intentos de acceso inválidos
  •   
  • Una vez que una cuenta de usuario está bloqueada,   permanece bloqueado por un mínimo de 30 minutos o hasta que un sistema   administrador restablece la cuenta.
  •   

Drupal tiene los siguientes valores predeterminados que aún se utilizan en la actualidad:

  

Drupal 7 evita los ataques de fuerza bruta en las cuentas. Bloquea el inicio de sesión b   y un usuario que tiene más de 5 intentos fallidos de inicio de sesión (dentro de las seis horas) o una dirección IP que tiene más de 50 intentos fallidos de inicio de sesión (dentro de una hora).

¿Alguien tiene otras mejores prácticas que pueda agregar? Me gustaría tener una discusión abierta sobre el tema e intentar encontrar un conjunto de pautas para una política de bloqueo decente que equilibre la seguridad, la facilidad de uso y la denegación de servicio.

    
pregunta Silver 25.04.2017 - 14:57
fuente

2 respuestas

2

Las directrices de NIST dicen esto:

  

el verificador DEBE limitar efectivamente a los atacantes en línea a no más de 100 intentos fallidos consecutivos en una sola cuenta.

100 intentos parecen bastante altos en comparación con los cinco o seis intentos citados. Sin embargo, aparentemente el NIST todavía piensa que es adecuado. Hay una gran diferencia entre "a lo sumo 100 intentos" y "un número infinito de intentos". A menos que su contraseña sea "123456" o "qwerty" o "contraseña", se necesitan muchos miles de intentos para forzar una contraseña.

Al mismo tiempo, es bastante común que los usuarios escriban su contraseña incorrectamente varias veces.

Así que creo que es mejor establecer el límite bastante alto, pero como esto equilibra la seguridad con la facilidad de uso, no creo que haya una respuesta "correcta" aquí.

    
respondido por el Sjoerd 25.04.2017 - 15:39
fuente
0

Siento que estas pautas son muy restrictivas, especialmente la de Drupal en la que te bloqueas por varias horas. Para mí, el objetivo principal de una política de bloqueo es evitar la detección de contraseñas. Por lo tanto, no se puede discutir sin hablar de las políticas de contraseña. En el caso de Drupal, puede usar fácilmente reCaptcha, que debería ayudar a defenderse contra ataques automatizados.

Si asumimos una política de contraseña decente:

  • Longitud mínima 6 caracteres
  • No en una contraseña lista de los 10 000 principales
  • No en / no contiene una lista creada de forma personalizada (nombre de la empresa, nombre de usuario, datos de nacimiento, ...)

Requeriríamos más de 10 000 conjeturas de contraseña para encontrar la contraseña de un usuario. Entonces, ¿por qué solo permitimos 5 intentos? Se puede obtener la misma seguridad al permitir 20 o 50 intentos. Un usuario puede rellenar fácilmente 5 contraseñas incorrectas y bloquearse, lo cual es decreciente. Para alcanzar un límite de 50 probablemente utilice una herramienta.

Recomendaría una política de bloqueo más permisiva si se combina con una política de contraseña decente Y la falta de Enumeración de usuarios posibilidades.

Son solo mis 2 centavos, por favor, comenta y responde.

    
respondido por el Silver 25.04.2017 - 14:57
fuente

Lea otras preguntas en las etiquetas