Bescherming login

Ik denk dat 3x per uur wel een goede anti-bruteforce methode is.

Ik zou 5 keer en dan 4 uur blokkeren doen.

Zou eerder voor 3 tot 5 pogingen gaan, met een tussenstop van 15minuten ofzo.
24 uur is wel heel erg lang.

Wat je ook kan doen is dat als ze na die 15minuten weer 3 tot 5 keer verkeerd doen, de wachttijd steeds verdubbelen.

Ik zou 3 keer proberen per 12 uur.

Swaffelaar. Als het om de 15 minuten is heb je meer kans dat de bruteforce kan slagen. 5x een foutief antwoord zegt al meer dan genoeg, iemand probeert eena ccount of iets dergelijke te hacken. Het veiligst is dus 4 uur of langer, na 5x

@Ferhat, weet ik daarom had ik nog een toevoeging eraan toegevoegd
Indien je wachttijd is verstreken en ze doen weer de X aantal keer fout, dan de wachttijd verdubbelen...

Of je kunt sleep instellen in het login script. Bijv. een seconde. Het duurt dan veel langer om te brute forcen en het is sneller klaar. (Bijv. als een computer 70 wachtwoorden raad per seconde. Dan duurt het 70 secondes en dat kost veel te lang als je een wachtwoord van 8 tekens of meer. Zou zo een paar honderd jaar kunnen duren).

Ik zou voor 5 gaan
bramieboy, dan vertraagt wel wel serieus lang voor de gebruiker en dat is gewoon vervelend

Een gebruiker doet niet moeilijk om een halve seconde lijkt mij.

Citaat van bramieboy100

Een gebruiker doet niet moeilijk om een halve seconde lijkt mij.

Maar als het een hacker is Bramieboy.
Is het weer een ander verhaal.

Dat is juist de bedoeling dat een hacker dit vervelend vind.

@Bramieboy.
Als het een paar seconden is zou ik het blijven proberen.

@Fils.
Een goede oplossing.
Misschien niet mijn keus om per 4 uur te doen.

Dat gebeurt met de computer, handmatig is dat niet te doen. En je vertraagd de computer er behoorlijk mee waardoor het kan oplopen tot tientallen/honderden jaren.

De kwestie die je nu voorlegt is een er eentje tussen security en gebruikersgemak.

Ik hanteer meerdere wachtwoorden, en als ik ergens een tijdje niet ben geweest is voor mij dan een inlogpoging of 5 zeker niet weinig. Een bruteforce aanval gaat eerder over de 100 duizenden pogingen heen.

De je gebruikers een lol en geef ze wat ruimte om hun wachtwoord in te vullen. Tot 25 pogingen kan makkelijk.

Toch meer security? Neem dan iets wat echt invloed heeft, een goede wachtwoord policy. Minimaal 8 tekens met cijfers, speciale tekens, en letters bijvoorbeeld.

Citaat van Wmdiensten

Is 25 pogingen niet wat overdreven, je kan natuurlijk altijd je wachtwoord nog resetten.
Ook wordt na 3x gewaarschuwd dat na nog 2 pogingen het account tijdelijk geblokkeerd wordt, en eventueel een link naar de wachtwoord reset?

25 klinkt zo groot, geen idee of dit echt gebruikersgemak is?

Ik zelf heb vaak dat ik het meer dan 5x keer probeer, hier op ICTs moet ik dan na x keer proberen een captcha invullen.
Ik zou dan 10x laten proberen, dan hebben ze ruim de mogelijkheid.