¿Debe un sistema rastrear los intentos fallidos de inicio de sesión? ¿Por qué?

¿Alguna vez has oído hablar de los ataques de fuerza bruta?

En un ataque de BruteForce, el atacante básicamente usa un programa para generar muchas contraseñas aleatorias y luego el programa prueba estas contraseñas una por una para iniciar sesión en su sitio web.

Se podría decir que este tipo de ataques de fuerza bruta se pueden detener bloqueando la dirección IP del atacante que realiza tantas solicitudes a sus formularios de inicio de sesión.

Estoy de acuerdo. Puede bloquear la dirección IP de un atacante.

Pero, los hackers profesionales saben que cualquiera puede implementar este tipo de seguridad.

Entonces, lo que hacen es cambiar la dirección IP de la solicitud después de cada intento fallido.

Ahora, no puede bloquear cada dirección IP. Las direcciones IP están sujetas a cambios. Al día siguiente, la misma IP podría asignarse a uno de sus CLIENTES más IMPORTANTES.

¿Qué sucederá si bloquea su dirección IP por error?

No podrán iniciar sesión, lo que contará para una experiencia del cliente realmente mala.

Entonces, ¿qué puedes hacer ahora?

Cree una columna adicional en su tabla MySQL y asígnele el nombre algo así como login_attempts.

Incremente este campo en cada intento de inicio de sesión fallido y vuelva a establecerlo en 0 en cada intento de inicio de sesión exitoso.

Una vez que el campo alcanza el valor de 5, deja de aceptar intentos de inicio de sesión.

Ahora, puede crear una página que funcione igual que las páginas de Olvidé mi contraseña. El usuario ingresa su correo electrónico y recibe un enlace a su dirección de correo electrónico. Una vez que el usuario hace clic en este enlace, restablece el conteo de login_attemps a 0 e inmediatamente le pide al usuario que cambie la contraseña.

Espero que esto ayude. 🙂

No dude en dejar un comentario, si tiene alguna pregunta. 🙂

Related Content

¿Cuál es el concepto detrás de las imágenes integradas como el adjunto en la descripción?

Cómo enviar imágenes como datos json desde el servidor nodejs

¿Cuál debo elegir: AngularJS o Vue.js?

¿Qué es la artesanía?

¿La mayoría de los desarrolladores front-end usualmente solo crean páginas basadas en la simulación dada por el cliente? ¿Qué otros roles o responsabilidades tienen si son contratados como desarrolladores web front-end?

Bueno, si usted es serio acerca de la seguridad de su sitio web, es uno de los muchos pasos pequeños que puede tomar.

Ahora, algunas personas lo clasificarían como innecesario. Pero como se menciona aquí en las respuestas, los ataques de BruteForce son la razón por la que resulta útil. Se realizan múltiples intentos de inicio de sesión para descifrar su contraseña. De esta manera, las contraseñas aleatorias se crean utilizando todas las permutaciones y combinaciones. Entonces, algún día su contraseña será descifrada. Las IP estáticas son la cura, pero pueden cambiar si los visitantes son demasiados para rastrearlos. Entonces, el número de intentos fallidos de inicio de sesión seguramente expondrá a los culpables.

Los intentos de inicio de sesión limitados ayudan a evitar las entradas excesivas de contraseña. Normalmente, puede editar la tabla MySQL para limitar este número a cualquier número. 5 es el más favorito aquí. Esto también ayuda a los usuarios íntimos a cambiar la contraseña en caso de que un nombre de usuario se use en exceso para iniciar sesión.

Estos son mis 2 centavos. Realmente espero que resuelva tu consulta.

Mohit Gangrade

Sí. Puede haber una falla en el teclado o un error tipográfico debido a un error humano.
La mayoría de los sitios web permiten hasta 5 intentos fallidos de inicio de sesión antes de bloquear la cuenta.

Sunny R Gupta

More Interesting

Cómo habilitar o deshabilitar JavaScript en mi navegador

¿Qué tecnología utiliza Flipboard?

¿Qué sistema de gestión de contenido (CMS) es más conveniente para la gestión de comercio electrónico?

¿Hay una compañía de TI en India que no esté utilizando ningún marco para el desarrollo de Java? No tengo conocimiento de Spring Frame y solo quiero saber si un marco se usa necesariamente en el desarrollo de Java en TI en India. Si es así, ¿por qué?

¿Dónde puedo obtener un tema gratuito de WooCommerce / eCommerce?

¿Para qué sirve el framework en el campo de la programación?

¿Cuáles son algunas ideas interesantes para proyectos web?

¿Cuál es la complejidad promedio de las aplicaciones empresariales Node JS?

¿Cuál es el propósito de un lenguaje de programación de secuencias de comandos del lado del servidor?

¿Cuáles son las tecnologías front-end utilizadas en Saavn?

¿Cuál debería ser el precio del sitio web exactamente como Redbus?

¿Debo tomar trabajos de desarrollo web front-end en lugar de la ruta J2ee de pila completa y esto impactaría nuevamente en mi oportunidad como pila completa para otras empresas?

¿Qué podemos decir sobre WordPress como marco?

¿Qué hosting es mejor para mi proyecto Laravel?

Cómo tener un proyecto a tiempo parcial sobre desarrollo web mientras está empleado