¿Es esta una regla de seguridad común o simplemente una estupida?
Es una política extremadamente común, y podría decirse que, debido al ataque de denegación de servicio que implica, también es una estupidez.
Es bastante estándar en las empresas. Podría argumentar que tiene más sentido aquí donde hay un servicio de asistencia de la empresa para hacer frente a las consecuencias, y esperaría poca motivación para que otro empleado se aproveche del DoS. En este contexto, también es requerido por algunos estándares de seguridad, por ejemplo, PCI DSS. En un contexto orientado al consumidor, donde tiene una mayor variedad de atacantes potenciales y costos más altos para respaldar a los usuarios bloqueados, sería una peor compensación.
El ataque que está intentando bloquear es el de adivinar por fuerza bruta a la cuenta de un usuario específico en particular. Si desea deshacerse del bloqueo de la cuenta, tendrá que encontrar alguna mitigación alternativa para ese ataque. Eso podría incluir:
-
requisitos de complejidad de las contraseñas más estrictas: aumentar la entropía en una contraseña podría aumentar considerablemente la cantidad de conjeturas que se espera obtener una infracción;
-
autenticación de dos factores; potencialmente, usando factores débiles adicionales como direcciones IP, perfiles de dispositivos y patrones de comportamiento para hacer un juicio de riesgo y posiblemente solicitar un segundo factor o un autenticador adicional;
-
límite de velocidad basado en IP / reputación, para retardar el acceso a la interfaz de inicio de sesión progresivamente cuando hay muchos inicios de sesión fallidos recientemente.
Debido a que el mecanismo de bloqueo de la cuenta no intenta protegerse contra el escenario de adivinanzas de fuerza bruta en muchas cuentas (por ejemplo, el ataque de 'adivinanza con contraseña invertida' de elegir una contraseña común y probarla en muchas cuentas), puede que Quiero considerar algunos de estos enfoques en cualquier caso. (La otra mitigación tradicional contra este tipo de ataque es mantener los nombres de usuario semi-secretos, protegiendo contra la enumeración del nombre de usuario, pero esto es un poco débil y puede ser difícil de cubrir completamente para algunos tipos de sistemas).
No estoy seguro de lo que podría ser apropiado en su situación particular, pero como menciona un "mainframe", mi sospecha sería un sistema heredado con pocas posibilidades de cambio. Tampoco está claro qué tipo de "firewall" estaría relacionado con las contraseñas de los usuarios. ¿Se refiere a la autenticación de proxy web?