Incercari login

[Praetor]

Desi e un topic pentru programare, il pun aici ca sa aiba mai multa vedere plus faptul ca nu trebuie sa fii programator sa ai o parere valida.

Vreau sa fac ca la un numar de login consecutive pe un cont sistemul sa reactioneze cumva. SInt mai multe variante dar as vrea niste idei practice. As putea bloca loginul pt acel cont pt. 15 minute de ex, as putea trimite email userului cu link pt deblocare  sau un simplu mesaj de notificare etc. Fiecare abordare are totusi dezavantaje pt end user.

Cum vi s-ar parea eficient voua ca useri ca un site sa abordeze problema asta, a.i sa si opreasca un posibil brute force dar nici sa va puna voua bete in roate?

[kman]

Block 30 de minute cu warn pe perioada de valabilitate a block-ului si cu extindere a perioadei de block la fiecare tentativa.
Nu cred ca e nevoie de mail daca in mesajul de login failed apare explicit motivul de fail.

[Chipicao]

Blocare pe o perioadă determinată de tine (eu aş alege cât mai mult) plus o metodă ascunsă de deblocare ( ex. combinaţie de taste). Util ar fi şi un mesajul de notificare, şi către user şi către administrator (probabil că cel din urmă primea oricum).

[Praetor]

Da, am uitat sa spun ca e vorba pt un site. Dar ma gandesc cum sa implementez sugestiile voastre.

[Chipicao]

Atunci... posibilitatea deblocării de pe o altă pagină unică pentru fiecare utilizator. Ex. site.com/recover/usercuvantsecret
Sper să nu fie prea greu de implementat sau prea greu de folosit.

[Praetor]

Bun am facut asa: dupa 5 incercari esuate, contul se blocheaza pt 15 minute. Deblocarea se face automat dupa interval.

[~Empathy~]

3 incercari esuate, intra in functiune captcha, dupa inca 2 incercari bloc 15 minute + instiintare pe mail (unde se poate si debloca). Daca se repeta toata treaba bloc cont pe perioada nedeterminata + instiintare mail de unde se poate debloca. Sistemul asta il folosesc eu in practica acum la un proiect.

[SoNic]

Sa nu faceti ca idiotii care au programat softul pentru cardurile Discover in USA... Dupa 5 tentative se baneaza contul definitiv (trebuie ales alt username SI parola!!!!). Cretinii, am ajuns la al 3-lea username din motive diverse... unul fiind ca am uitat parola la al doilea username.

[Praetor]

Am retinut ideile, nu-mi trebuie ceva f strict. M-am gnadit si eu la captcha insa loginul va fi in header cumva, o sa vad daca poate fi bagat sa nu aglomereze interfata. Merci tuturor pt sugestii.