Preguntas con etiqueta 'account-lockout'

6
respuestas

¿Puede un actor malintencionado bloquear al usuario real intentando deliberadamente contraseñas incorrectas cada X minutos?

Algunos sitios web bloquean a un usuario después de una serie de intentos de contraseña incorrecta, por ejemplo, durante 15 minutos. Si un actor malintencionado lo sabe, ¿pueden intentar iniciar sesión con contraseñas incorrectas cada 15 minutos...
hecha 05.04.2017 - 17:35
4
respuestas

¿Cuáles son los inconvenientes de la limitación de solicitudes de inicio de sesión?

En una aplicación web, una forma de protegerse contra los ataques de adivinación de contraseñas es bloquear las cuentas después de un número determinado de inicios de sesión fallidos. Esto se puede hacer tanto en la dirección IP de origen como e...
hecha 11.06.2015 - 16:07
2
respuestas

¿Las claves FIDO U2F (como las de Yubikeys dobles o las de Google Titan) se ven socavadas por el proceso de recuperación de la cuenta de Google?

De acuerdo con la página de información de Google aquí: enlace    Si no tiene otro segundo paso u olvidó su contraseña       Nota:   La verificación de 2 pasos requiere un paso adicional para demostrar que usted es dueño de un   cuenta. De...
hecha 11.10.2018 - 00:25
1
respuesta

Justificación para el bloqueo de seguridad después de cambiar una contraseña

Hace poco me cerré una cuenta (durante 30 minutos), no por fallar un cierto número de intentos de contraseña, sino por cambiar la contraseña después de respondiendo preguntas de seguridad. ¿Cuál crees que es el propósito de este mecanismo...
hecha 23.01.2018 - 17:43
1
respuesta

El escritorio parpadea Pantalla de bloqueo pasado

Estoy usando Fedora 22 con Gnomo 3 . Tengo una contraseña configurada para mi cuenta de usuario, por lo que cuando mi computadora portátil se despierta, me aparece la pantalla de bloqueo y debo ingresar mi contraseña antes de acceder a mi esc...
hecha 16.06.2015 - 03:10
3
respuestas

¿Debe un usuario poder desbloquear su propia cuenta después de ser bloqueado automáticamente?

¿Un usuario debería poder desbloquear su propia cuenta después de ser bloqueado? Normalmente, hay requisitos que especifican que los usuarios deben bloquearse automáticamente: La cuenta del usuario se debe bloquear después de demasiados...
hecha 26.09.2014 - 16:59
1
respuesta

¿Debe bloquearse la cuenta de usuario después de X cantidad de inicios de sesión fallidos?

Casi he terminado de desarrollar mi sistema de inicio de sesión y hay una cosa más de la que no estoy seguro. Tantos debates que encontré en Internet sobre el conteo de inicios de sesión no válidos y el bloqueo de cuentas de usuarios. Mi sistema...
hecha 16.03.2018 - 14:29
1
respuesta

Mejores prácticas para manejar tokens TOTP incorrectos

Suponga un sistema 2FA con contraseñas proporcionadas por el usuario y tokens TOTP de 6 dígitos. No es posible probar un token TOTP sin autenticar primero con una contraseña, por lo que se presume que la persona que envía un token conoce la cont...
hecha 17.12.2016 - 16:25
1
respuesta

¿Cómo suspender un servidor de respuesta silencioso de la cuenta de Facebook?

Una amiga mía me habló del siguiente problema: ella solía iniciar sesión en Facebook en la computadora de su novio. Después de que rompieron, ella reconoció que él podía iniciar sesión en su cuenta desde su computadora. Por supuesto, luego ca...
hecha 18.11.2014 - 13:36
2
respuestas

Bloqueo de cuenta para proteger de la fuerza bruta: ¿no abre vulnerabilidades a los ataques de DOS? [duplicar]

AFAIK la práctica recomendada para mitigar los ataques de fuerza bruta es bloquear una cuenta durante, por ejemplo, 15 minutos (¿tal vez aumentar el tiempo de bloqueo si el ataque continúa después?) después de, digamos, 5 intentos de inicio de...
hecha 16.11.2018 - 21:16