Foros del Web » Programando para Internet » PHP »

Consejo para banear ip numero de intentos.

Estas en el tema de Consejo para banear ip numero de intentos. en el foro de PHP en Foros del Web. Buenas de nuevo a todos. Me gustaria que me diesen un consejo. He creado una función que me controla el numero de intentos de acceso ...
  #1 (permalink)  
Antiguo 27/07/2007, 07:33
 
Fecha de Ingreso: abril-2007
Mensajes: 156
Antigüedad: 17 años, 7 meses
Puntos: 0
Consejo para banear ip numero de intentos.

Buenas de nuevo a todos. Me gustaria que me diesen un consejo. He creado una función que me controla el numero de intentos de acceso de una ip a la aplicación. Esta función está creada para evitar los intentos de ataque por fuerza bruta. Ahora bién también puede ser un usuario que sea muy muy muy muy rematadamente torpe y he pensado en darle según el contador que tengo en la bd un numero de intentos, Mi pregunta es cuantos intentos se le podría dar?

He puesto 15 para probar a los 15 banea la ip... son pocos o muxos o está bien¿?

Que me recomendais?

muchas gracias de nuevo
  #2 (permalink)  
Antiguo 27/07/2007, 09:03
 
Fecha de Ingreso: septiembre-2005
Mensajes: 20
Antigüedad: 19 años, 2 meses
Puntos: 0
Re: Consejo para banear ip numero de intentos.

Hola:

Este foro tiene un sistema de login que me pareció muy bueno. Cuando yerras la contraseña te indica cuantos intentos te quedan, al estilo "Intento 1 de 5". Creo que puede utilizar algo similar para advertir a los usuarios torpes.
Por otro lado, todo ataque por fuerza bruta intentará ser lo más rápido posible para probar mayor cantidad posible de contraseñas en el menor tiempo. Puedes utilizar esto para discriminar un usuario de una máquina. No es lo mismo detectar 5 intentos fallidos en 30 segundos que 10 en uno!
Finalmente se me ocurre que puedes disciminar un usuario torpe de un algoritmo de fuerza bruta con otro chequeo. Un usuario torpe normalmente intentará introducir la misma contraseña varias veces, por más que sea incorrecta. Un algoritmo de fuerza bruta jamás haría algo así! Puedes "descartar" del conteo de logins errados aquellos que tengan contraseñas erroneas repetidas.

Salu2!
  #3 (permalink)  
Antiguo 28/07/2007, 04:06
 
Fecha de Ingreso: abril-2007
Mensajes: 156
Antigüedad: 17 años, 7 meses
Puntos: 0
Re: Consejo para banear ip numero de intentos.

Gracias por la respuesta shandrio, siento no haber podido contestar antes. como se puede intentar 10 intentos fallidos en 10 segundos? Es imposible tiene que meter user y pass y le sale el mensaje de error si no...

En cuanto a lo de los usuarios torpes creo que lo hare así como dices detectarlos con un trozo de script que me diga si las contraseñas son repetidas.

Pero mi duda es cuantos intentos fallidos debería poner hasta que los banee?

10,? 15? 20,? 25,? 30,? una idea por favor.

Gracias de nuevo a todos
  #4 (permalink)  
Antiguo 28/07/2007, 13:32
 
Fecha de Ingreso: septiembre-2005
Mensajes: 20
Antigüedad: 19 años, 2 meses
Puntos: 0
Re: Consejo para banear ip numero de intentos.

Estas pensando como un humano! :D Una máquina no tiene que "tipear" el nombre de usuario y contraseña ni leer una página completa para "darse cuenta" que el usr/pass no fue aceptado. Con solo "saber" que respuesta obtendrá del servidor cuando haya tenido éxito puede probar cientos de contraseñas en segundos. Recuerda además la concurrencia. Un máquina puede estar probando todos los logins que quiera "simultaneamente" en procesos o hilos separados!

Respecto a la cantidad, queda a criterio de cada uno. Debe elegirse según cuan crítico es el sistema que quieras proteger. Como estándares podría citarte los de los cajeros automáticos, login de windows, etc. que son 3 los intentos fallidos que sopotan. Este foro por ejemplo te deja errar 5 veces. Si quieres mi opinión personal: 5 suena lógico y suficiente. Si un usuario está leyendo que le quedan 4, 3, 2, 1 intento fallidos y se le advirte de antemano que no va a poder loguearse más si se le acaban todos los intentos, no va a ser tan tonto de seguir intentando hasta el final!!

Recuerda también otorgarle al usuario "súper torpe" la posibilidad de quitar su IP de la lista negra. Cuando una IP haya sido bloqueada deberás advertirle apropiadamente y darle una dirección de correo u otro medio para poder contactar a un administrador para que la desbloquee, o en su defecto algún proceso automático seguro (CAPTCHA http://www.captcha.net/ es una excelente método para distinguir humanos de máquinas).

Salu2!
  #5 (permalink)  
Antiguo 29/07/2007, 08:27
 
Fecha de Ingreso: abril-2007
Mensajes: 156
Antigüedad: 17 años, 7 meses
Puntos: 0
Re: Consejo para banear ip numero de intentos.

muchas gracias de nuevo shandrio ya he puesto los 5 intentos, y también implementaré lo del captcha :) un saludo
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 14:07.