Mi a legjobb és legésszerűbb megoldás arra, hogy bejelentkezésnél X sikertelen próbálkozás után bizonyos időre (én 15 percre gondoltam) letiltsam a felhasználót?

A usert nem célszerű tiltani. Illetve nem a usert kell tiltani. Ha valaki ismeri a felhasználónevedet, és ki akar veled szúrni, akkor csinál egy scriptet, ami másodpercenként küld egy bejelentkezést ugyanazzal a hibás jelszóval.

Az eredmény az, hogy a valódi user nem tud belépni.

A valódi user ismeri a saját jelszavát, így azzal lehetőséget kell neki biztosítani, hogy bármikor beléphessen, akkor is, ha más éppen megpróbálja kitalálni a jelszavát.

A megoldás: IP-t kell tiltani. Ehhez elég egy tábla, ami tartalmazza az IP-t a hibás bejelentkezések számát, és a kitiltás lejáratának idejét.

Elsőnek ellenőrzöd, hogy az adott IP szerepel-e ebben a táblában úgy, hogy a tiltás lejáratának ideje későbbi, mint a jelenlegi időpont. Ha igen, akkor tolsz neki egy üres oldalt.

Ha nem, akkor elvégzed a belépési adatok ellenőrzését. Ha helyes belépési adatok jönnek, akkor nullára állítod a hibás belépési kísérletek számát. Ha nem, akkor növeled az adott IP-re a sikertelen belépések számát. Ha ez meghaladja a küszöböt, akkor beállítod a tiltás lejáratának időpontját time() + 15*60 - ra, illetve nullázod a sikertelen belépési kísérletek számát. (A büntetés után ugyanarról a gépről azért lehessen belépni. Pl. nyilvános gép esetén ez fontos.)

Lehet tovább cizellálni, hogy naplózod, hogy y számú kísérlet után ki lépet be sikeresen, ekkor a támadó kilétére is fény derülhet. Illetve hosszabb távú naplózás során ki lehet szűrni proxykat, stb., stb…

Azért ez is alkalmas kitolásra. Mondjuk egy céges környezetben rendszeresen be kell lépni valahová, a vicces kedvű user háromszor beírja valamelyik ismert felhasználónévvel jelszónak, hogy kaki, és máris az egész cég le van tiltva.

Igazából nem vagyok biztos benne, hogy ezzel a megoldással jobban eléred a célt, mint a név szerinti tiltással. Mindenképpen ki lehet tolni valakivel, ha ez a szándék.

Ugye megint az van, hogy kérdés, hogy kik fogják látogatni az oldaladat. Mondjuk egy Minecraft szerver weboldalán némi DoS támadás ellen esetleg ér valamit.

Viszont ha van sok gép lokális hálózatba kötve – pl. egy cég belső hálózata –, akkor webszerver oldaláról ugyanazt az IP-t látod.

Mondjuk dolgozom az X cégnél. Tudom, hogy Y személy szeretné használni az oldalt. Ha ki akarok szúrni vele, akkor elkezdek bejelentkezgetni Y felhasználónevével. A webszerver ugyanazt az IP-t, ugyanazt a felhasználónevet látja tőlem is, Y-tól is. Engem különösképpen nem zavar, ha az oldal letilt pár percre. Y viszont nem tud bejelentkezni.

Az a gond, hogy ezzel a módszerrel pont azt tiltod, akit védeni akarsz. Gondolom az a cél, hogy brute force módszerrel ne lehessen megtalálni Y felhasználó jelszavát. Ha megakadályozod hogy Y felhasználói nevével kísérletet tegyen a bejelentkezésre, akkor mindenképpen őt fogod elsősorban büntetni.

Mellesleg vannak progik, amik minden kérést más proxy felé küldenek ki, így ugyanaz a kliens mindig más-más IP-ről látszik a szerveroldalon.

A sütik valóban nem adnak 100%-os megoldást, de egy Pistike ellen, aki csak próbálkozik, és mit sem tud semmiféle sütikről, az ellen lehet védelem.

Én inkább az IP-t figyelném. Ha az adott IP-ről jön kellő számú sikertelen bejelentkezés, akkor nem letiltanám a bejelentkezést, hanem hozzádobnék az login képernyőhöz egy capchát.

~ ~ ~ ~ ~ ~ ~

Meg kérdés, hogy valóban ez-e a legfontosabb biztonsági rés. Sokszor a felhasználók jelszavát nem így lopják el, hanem más eszközökkel, pl. cross-site scripting, session hijacking, sőt sokszor még csak különösebb technikai tudás sem kell hozzá. Ja, hogy Y imádja a kiskutyákat? Akkor regisztrálok egy Z nevet, szóba elegyedek vele, közben csinálok egy regisztrációköteles kiskutyás honlapot. Aztán ha már valamennyire összehaverkodtunk, akkor elküldöm neki, hogy milyen jó oldal. Jó esetben ugyanazzal a jelszóval fog oda is regisztrálni, és mivel én csináltam a honlapot, én tudni fogom ezt a jelszót.

Meg sokszor nem egy adott felhasználó jelszavát akarja valaki megszerezni, csak egy random fiókba akar bejutni. A legtöbb oldalon a felhasználók neveit könnyebb listázni. Ha ez megvan, fogom a legyakoribb jelszavakat – 12345, password, titok, stb… – és végigpróbálom az összes felhasználót vele. A te megoldásodnál ugye az a gond, hogy ez gyakorlatilag az összes felhasználó adott időre történő kitiltásához is vezethet.

~ ~ ~ ~ ~ ~ ~

Szóval amit én csinálnék:

1. Megfelelő jelszótárolást használnék, hogy akár az adatbázis megszerzésével se lehessen visszafejteni a jelszavakat. Pl. bcrypt.

2. Mindenképpen különválasztanám a megjelenítendő nevet a belépési névtől.

3. Vizsgálnám a jelszó erősségét. Pl. előírnám, hogy minimum 8 karaktert kell tartalmaznia, és mondjuk a kisbetű, nagybetű, szám, írásjel négyesből legalább kettőt, vagy hármat tartalmaznia kell.

4. Naplóznám azokat az IP-ket, ahonnan sikertelen belépés érkezik, és egy limit után hozzádobnék egy captchát a bejelentkező oldalhoz.

5. Nagyon vigyáznék, hogy XSS ellen védve legyen az oldal. Minden felhasználótól jött szöveget, adatot mindenféle szempontból ellenőrizni, kezelni kell.