Достаточно ли заниматься настройкой входа в систему на основе имени пользователя?

Question

Например, если пользователь fred123 не смог войти в систему X раз в последних Y минутах, то я бы заблокировал fred123, чтобы попытаться войти в систему в течение определенного периода времени. Но в течение этого периода времени другие пользователи не будут заблокированы от входа в систему. Это достаточно хорошо?

Кажется, что это сработает, потому что грубая форсер сможет только попробовать каждое имя пользователя X раз. Я бы установил X и Y на низкие цифры - вероятно, и меньше, чем 10.

Answer 1

Это начало, но если вы параноик о неудачных попытках входа в систему, то я также буду дросселировать по ip-адресу.

И если вы действительно параноик я бы задушить на глобальной неудачной попытки, и увеличить продолжительность блокировки для каждой попытки, внутри позволяет говорить 10 мин окно

Answer 2

Вы делаете предположение, что грубая сила Войти всегда будут нацелены на одно и то же имя пользователя и попробовать разные пароли. Если бы это было правдой, тогда все было бы хорошо.

Однако, предполагая, что у злоумышленника был список имен пользователей с вашего сервера, они могут попробовать очевидный пароль, например «пароль», и пройти через каждого пользователя, чтобы узнать, использует ли он его. Это полностью обойдет вашу теорию о том, как может произойти атака.

Лучшей системой будет регистрация IP-адреса входящего пользователя и подсчет количества неудачных попыток, произошедших с этого IP-адреса, за известный период времени. Если он превышает сумму, затем блокируйте попытки с этого IP на некоторое время. Это менее разрушительно для ваших пользователей, если это кто-то еще пытается войти в систему со своим именем пользователя.

У Linux есть аналогичная система под названием fail2ban, которая использует этот подход для людей, пытающихся войти на сервер.

Что вы должны сделать, это попытаться подумать о том, что делает ваш сайт, и как вы можете поставить под угрозу безопасность.