Jump to content

Login Anti Brute Force

nram

By nram
in PHP

 Share

Recommended Posts

pedrotuga try-catch user

pedrotuga

Posted
Posted

É uma coisa que nunca fiz, mas de rajada, o que eu faria era umplementar um limite de frequencia temporal de tentativas.

Penso que mais vale deixar isso para o apache ( ou outro servidor web ) pois já tem mecanismos para lidar precisamente com essas situações, e podes deixar o teu código php mais limpinho e versátil.

Link to comment
Share on other sites
pedrotuga try-catch user

pedrotuga

Posted
Posted

sim... eu pensei nisso do limite do tempo...

pois, apache, mas ele por si nao vai fazer nada... se eu fizer brute force á pagina de login, ele nao vai fazer nada... (acho eu)

Eu não tenho muito experiencia em configurações e módulos do apache, mas penso que te permite fazer precisamente isso, limitar o numero de pedidos no dominio do tempo, do ip, da directoria, do tipo de ficheiros, etc.

Link to comment
Share on other sites
magician boolean user

magician

Posted
Posted

Tens outra forma de fazer que é como muitos sites fazer fazes uma contagem de passwords erradas por IP ao errar tipo 3 vezes bloqueia o IP por determinado tempo.

É verdade que podem depois usar proxys ou renovar o IP mas já dá mais algum trabalho, podes depois também fazer tipo aos 10 login errados para 1 utilizador a conta é bloqueada e envia um email para o user a avisar do acontecido e como desbloquear.

I haven’t lost my mind; it’s backed up on DVD somewhere!

Link to comment
Share on other sites
softklin try-catch user

softklin

Posted
Posted

Tens outra forma de fazer que é como muitos sites fazer fazes uma contagem de passwords erradas por IP ao errar tipo 3 vezes bloqueia o IP por determinado tempo.

É verdade que podem depois usar proxys ou renovar o IP mas já dá mais algum trabalho, podes depois também fazer tipo aos 10 login errados para 1 utilizador a conta é bloqueada e envia um email para o user a avisar do acontecido e como desbloquear.

Concordo com a primeira, até já a vi ser aplicada em muitas páginas. Agora a 2ª pode tornar-se frustante para o utilizador, e até ser motivo para brincadeiras de mau gosto se me percebem (bloquearem a conta de outra pessoa constantemente).

Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Link to comment
Share on other sites
softklin try-catch user

softklin

Posted
Posted

Se no mail enviares um link para o desbloqueio directo não vejo nada de mais

Sim, isso tudo bem, mas imagina que tens uma conta e eu sei que esse sistema está implementado. Se eu quiser bloquear-te a conta, erro o login 10 vezes, ok, recebes o mail e desbloqueias. Agora imagina isto repetir-se sem fim... logo no minuto a seguir ja te bloqueei a conta outra vez...

Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Link to comment
Share on other sites
softklin try-catch user

softklin

Posted
Posted

Tão mas por isso é que sugeri esta implementação juntamente com a outra do bloquear IP,, bloqueia o IP aos 5 e aos 10  bloqueia a conta e o IP.

Ah, ok, pensei que eram duas soluções distintas... Sim, dessa forma é mais eficaz realmente..  😛

Nick antigo: softclean | Tens um projeto? | Wiki P@P

Ajuda a comunidade! Se encontrares algo de errado, usa a opção "Denunciar" por baixo de cada post.

Link to comment
Share on other sites
magician boolean user

magician

Posted
Posted

usa uma imagem para validar o login, como está neste tópico

http://www.portugal-a-programar.pt/index.php?showtopic=14896

podes fazer como no gmail, a imagem só aparece passado algumas tentativas falhadas

Um bom OCR resolve o problema um colega meu implementou um em Java e já lê uma grande % de imagens.

I haven’t lost my mind; it’s backed up on DVD somewhere!

Link to comment
Share on other sites
nram void

nram

Posted
  • Author
Posted

o motivo disto... digamos que é para nenhum aluno espertinho lá da minha escola nao andar a brincar com uma aplicaçao que estou a fazer para o Centro de aprendizagem da Escola.... Que akilo só vai ter mesmo acesso a admin para adicionar, remover, requisiçoes e assim, na parte de manuais escolares etc... mas é sempre bom nao andarem a estragar as coisas.. (e penso que aquele servidor onde vou alojar na escola nao tem acesso á internet, mas tem acesso á rede da escola. )

Link to comment
Share on other sites
djthyrax try-catch user

djthyrax

Posted
Posted

sim.. vou usar isso.. e que adianta?? nao podem na mesma descobrir o link? e explorar...

Podem, mas nada é impossível de ultrapassar, mas o factor psicológico é bastante importante, e quanto mais difícil for a tarefa, mais tempo tens para detectar as tentativas e poderes apanhar o bife.

Não peças ajuda por PM! A tua dúvida vai ter menos atenção do que se for postada na secção correcta do fórum!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.