Bescherming login

    Hi,

    Ik ben voor me hosting bezig met een klantenpaneel welke ik goed wil beveiligen.
    Hierbij bedacht ik me een soort "anti bruteforce" op de login pagina, een x aantal pogingen dus.

    Nu heb ik de code gedeeltelijk al in elkaar zitten, alleen zit ik even met de waarde te spelen.
    Standaard wil ik na x aantal keer fout een blokkade van 24 uur instellen, deze is alleen te verwijderen op aanvraag, of na 24 uur.
    De mislukte pogingen worden gelogd, welke op IP niveau gelogd zijn.


    Nu is mijn vraag:
    Na hoeveel pogingen zouden jullie deze blokkade instellen, ben zelf namelijk heel erg van het strak afstellen.
    En is 24 uur blokkade genoeg of zou dit minder moeten zijn?

    Het deblokkeren kan alleen telefonisch met gegevens verificatie, of na 24 uur mocht het voorkomen.

  • Guest, wil je besparen op je domeinnamen? (ad)

    Zou eerder voor 3 tot 5 pogingen gaan, met een tussenstop van 15minuten ofzo.
    24 uur is wel heel erg lang.

    Wat je ook kan doen is dat als ze na die 15minuten weer 3 tot 5 keer verkeerd doen, de wachttijd steeds verdubbelen.

    Swaffelaar. Als het om de 15 minuten is heb je meer kans dat de bruteforce kan slagen. 5x een foutief antwoord zegt al meer dan genoeg, iemand probeert eena ccount of iets dergelijke te hacken. Het veiligst is dus 4 uur of langer, na 5x

    Of je kunt sleep instellen in het login script. Bijv. een seconde. Het duurt dan veel langer om te brute forcen en het is sneller klaar. (Bijv. als een computer 70 wachtwoorden raad per seconde. Dan duurt het 70 secondes en dat kost veel te lang als je een wachtwoord van 8 tekens of meer. Zou zo een paar honderd jaar kunnen duren).

    LOL

    Dat gebeurt met de computer, handmatig is dat niet te doen. En je vertraagd de computer er behoorlijk mee waardoor het kan oplopen tot tientallen/honderden jaren.

    LOL

    De kwestie die je nu voorlegt is een er eentje tussen security en gebruikersgemak.

    Ik hanteer meerdere wachtwoorden, en als ik ergens een tijdje niet ben geweest is voor mij dan een inlogpoging of 5 zeker niet weinig. Een bruteforce aanval gaat eerder over de 100 duizenden pogingen heen.

    De je gebruikers een lol en geef ze wat ruimte om hun wachtwoord in te vullen. Tot 25 pogingen kan makkelijk.

    Toch meer security? Neem dan iets wat echt invloed heeft, een goede wachtwoord policy. Minimaal 8 tekens met cijfers, speciale tekens, en letters bijvoorbeeld.

    Stefan.J
    Wachtwoord is al verplicht lastig te houden, moet minimaal hoofdletter, letter & cijfer hebben.
    Hij moest als ik me niet vergis ook minimaal 8 tekens lang zijn, heb de code hier niet bij de hand dus durf ik niet te zeggen.

    Is 25 pogingen niet wat overdreven, je kan natuurlijk altijd je wachtwoord nog resetten.
    Ook wordt na 3x gewaarschuwd dat na nog 2 pogingen het account tijdelijk geblokkeerd wordt, en eventueel een link naar de wachtwoord reset?

    25 klinkt zo groot, geen idee of dit echt gebruikersgemak is?

    Citaat van Wmdiensten


    Is 25 pogingen niet wat overdreven, je kan natuurlijk altijd je wachtwoord nog resetten.
    Ook wordt na 3x gewaarschuwd dat na nog 2 pogingen het account tijdelijk geblokkeerd wordt, en eventueel een link naar de wachtwoord reset?

    25 klinkt zo groot, geen idee of dit echt gebruikersgemak is?

    Ik zelf heb vaak dat ik het meer dan 5x keer probeer, hier op ICTs moet ik dan na x keer proberen een captcha invullen.
    Ik zou dan 10x laten proberen, dan hebben ze ruim de mogelijkheid.

    Met vriendelijke groet,
    Reza.

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login