Autor | Zpráva | ||
---|---|---|---|
Luky Profil |
#1 · Zasláno: 23. 8. 2013, 18:45:30
Zdravím,
zajímalo by mě jaký máte názor na zablokování uživatelů po x špatných pokusech. Jednalo by se třeba o přístup do nějaké důležité administrace. Je samozřejmě spousta webů, které uživatele tímto způsobem neblokují (většinou to nemají zapotřebí), ale jsou weby (jako Wedos) který uživatele zablokuje hned po 2 špatných pokusech. Řek bych že je to asi hlavně kvůli "líným" uživatelům kteří neuvažují jako programátoři, a tak si nevolí třeba: Rx7j!2bKu92?qPl. Pro automatizovaného robota tedy může opravdu stačit jen jeden jediný pokus pokud se trefí do hesla: 12345678? Dá se tento způsob nějak lépe hlídat proti těmto robotům? Třeba captcha kódem, ale ani ten samozřejmě není spolehlivý. Vím, že Google to řeší tak, že registraci jednoduchých (známých hesel) nedovoluje a požaduje kombinaci písmen a číslic. Kvůli bezpečnosti musí zkrátka uživatel trochu trpět, ale ten pocit bezpečí pak asi stojí za to ;) |
||
juriad Profil |
#2 · Zasláno: 23. 8. 2013, 19:07:17
Ideální je nechat uživatele zadat si libovolné heslo (klidně čtyřznakové), ale varovat ho, že je slabé a hrozí jeho snadné prolomení.
Já bych uživatele nenutil, ať si vymyslí super „bezpečné“ heslo; stejně to pak skončí tak, že ho zapomene a bude ho každou chvíli obnovovat, nebo v horším případě použije své jedno univerzální. Pokud budeš vyžadovat číslici, tak si troufám tvrdit, že většina uživatelů na konec prostě připíše jedničku. A s bezpečností jsi moc nepohnul. Blokovat po n pokusech. Ano, ale blokaci přihlášení omezit na pár minut a oznámit uzivateli, že musí počkat. Captchu můžeš použít a může být i otravná (taková, která zabere chvíli času), alespoň si dá příště pozor. Třeba, opište z následujícího odstavce čtyřpísmenná slova seřazená podle abecedy. :) Možné by také bylo po přihlášení zobrazit uživateli, kolik neúspěšných pokusů z cizí IP adresy nastalo, než se přihlásil, a varovat ho, ať si zkontroluje, že používá dostatečně silné heslo. Ohledně síly hesla: http://xkcd.com/936/ a znovupoužívání: http://xkcd.com/792/ |
||
Lkopo Profil * |
#3 · Zasláno: 23. 8. 2013, 22:33:31
Google reCaptcha by mala stacit. Alebo stara skola Q&A.
|
||
Časová prodleva: 5 dní
|
|||
Luky Profil |
#4 · Zasláno: 28. 8. 2013, 13:07:52
Díky moc za názory :)
juriad: „blokaci přihlášení omezit na pár minut“ Z jakých důvodů se vlastně omezuje třeba na hodinu? |
||
Časová prodleva: 11 let
|
0