Autor Zpráva
Luky
Profil
Zdravím,
zajímalo by mě jaký máte názor na zablokování uživatelů po x špatných pokusech. Jednalo by se třeba o přístup do nějaké důležité administrace.
Je samozřejmě spousta webů, které uživatele tímto způsobem neblokují (většinou to nemají zapotřebí), ale jsou weby (jako Wedos) který uživatele zablokuje hned po 2 špatných pokusech. Řek bych že je to asi hlavně kvůli "líným" uživatelům kteří neuvažují jako programátoři, a tak si nevolí třeba: Rx7j!2bKu92?qPl. Pro automatizovaného robota tedy může opravdu stačit jen jeden jediný pokus pokud se trefí do hesla: 12345678?
Dá se tento způsob nějak lépe hlídat proti těmto robotům? Třeba captcha kódem, ale ani ten samozřejmě není spolehlivý.
Vím, že Google to řeší tak, že registraci jednoduchých (známých hesel) nedovoluje a požaduje kombinaci písmen a číslic.
Kvůli bezpečnosti musí zkrátka uživatel trochu trpět, ale ten pocit bezpečí pak asi stojí za to ;)
juriad
Profil
Ideální je nechat uživatele zadat si libovolné heslo (klidně čtyřznakové), ale varovat ho, že je slabé a hrozí jeho snadné prolomení.
Já bych uživatele nenutil, ať si vymyslí super „bezpečné“ heslo; stejně to pak skončí tak, že ho zapomene a bude ho každou chvíli obnovovat, nebo v horším případě použije své jedno univerzální.
Pokud budeš vyžadovat číslici, tak si troufám tvrdit, že většina uživatelů na konec prostě připíše jedničku. A s bezpečností jsi moc nepohnul.

Blokovat po n pokusech. Ano, ale blokaci přihlášení omezit na pár minut a oznámit uzivateli, že musí počkat.
Captchu můžeš použít a může být i otravná (taková, která zabere chvíli času), alespoň si dá příště pozor. Třeba, opište z následujícího odstavce čtyřpísmenná slova seřazená podle abecedy. :)
Možné by také bylo po přihlášení zobrazit uživateli, kolik neúspěšných pokusů z cizí IP adresy nastalo, než se přihlásil, a varovat ho, ať si zkontroluje, že používá dostatečně silné heslo.

Ohledně síly hesla: http://xkcd.com/936/ a znovupoužívání: http://xkcd.com/792/
Lkopo
Profil *
Google reCaptcha by mala stacit. Alebo stara skola Q&A.
Luky
Profil
Díky moc za názory :)

juriad:
blokaci přihlášení omezit na pár minut
Z jakých důvodů se vlastně omezuje třeba na hodinu?

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: