Fórum Root.cz

Ostatní => Odkladiště => Téma založeno: laik123 22. 07. 2021, 20:01:13

Název: Omezení pokusů pro přístup
Přispěvatel: laik123 22. 07. 2021, 20:01:13
Ahoj, je nejaky vypocet anebo pravidlo pro to kdy je dobre zablokovat pristup po spatnych x pokusech o zadani kodu/hesla apod. ? Např 3 pokusy pro zadani pinu nekde apod ? Diky
Název: Re:Omezení pokusů pro přístup
Přispěvatel: Martin H. 22. 07. 2021, 21:45:05
No, já mám běžně nastaveno po 3 pokusech blokace 5 minut, někde jsem musel povolit 5 špatných/5minut. Obecně to je asi rozumný kompromis, pokud někdo vyloženě hádá hesla.
Název: Re:Omezení pokusů pro přístup
Přispěvatel: mark42 23. 07. 2021, 12:54:44
Zalezi od niekolkych faktorov:
- hodnota toho, co chranis (za PINom moze byt bankove konto alebo kolobezka)
- komplexita hesla - napr. bankovy PIN ma typicky 4 cisla, heslo do PC moze mat napr. min. 10 znakov.
- pozadovana doba ochrany - t.j. ako dlho by utocnikovi malo trvat, kym heslo uhadne
- extra podmienky (napr. ci je povolene po N pokusoch ten PIN zablokovat natrvalo, ci mas nejaky PUK alebo iny proces, ktorym si vies PIN odomknut, alebo ci blokovanie pristupu nemoze skoncit ako Denial of Service utok)
Je tam prilis vela premennych na to, aby sa z toho dala urobit nejaka formulka.
Název: Re:Omezení pokusů pro přístup
Přispěvatel: Filip Jirsák 23. 07. 2021, 14:49:43
Výpočet ani pravidlo není. Musí se to brát podle toho, co je účelem. Účelem omezení pokusů o přístup je to, aby nešlo přístupové údaje uhodnout hrubou silou, a zároveň aby se oprávněný uživatel dokázal přihlásit, když potřebuje. Takže záleží na spoustě okolností, třeba na tom, jak silná se používají hesla. Pokud to bude 4místný PIN, stačí těch pokusů hrozně málo a i omezení 3 chybné pokusy → blokace na 5 minut znamená, že útočník nejpozději za dva týdny PIN získá. Nebo-li s tím nevystačíte. Naopak pokud s jistotou víte, že uživatelé mohou mít jenom silná hesla, nemusíte blokování dělat vůbec.
Nebo-li počítejte s tím, jak máte silná hesla, jaké má oprávněný uživatel alternativy přihlášení (PUK, zaslání obnovovacího kódu e-mailem), jaké jsou jiné možnosti automatického hádání (např. po 2. špatném pokusu zapnout pro uživatele CAPTCHA). Na straně útočníka naopak počítejte s tím, že může hesla zkoušet z mnoha míst zároveň a také že po blokaci nezačíná znova od začátku, ale pokračuje tam, kde skončil.
Název: Re:Omezení pokusů pro přístup
Přispěvatel: Miroslav Šilhavý 23. 07. 2021, 15:17:22
Neexistuje na to vzorec. Úplně jinak asi budete chránit přístup v televizoru na sledování porna, jinak budete chránit lokální účet na PC za firewallem, jinak přístup do fóra na root.cz a jinak do banky.

Vždy je to o manažerském rozhodnutí: co chráním, jaká ztráta plyne z neoprávněného přístupu a jaká ztráta plyne ze zbytečně odepřeného přístupu. V takovém rozhodování není objektivní měřítko.

Dovolím si ale tvrdit, že kdo toto nechápe (a položí takový dotaz), by to neměl rozhodovat a měl by to přenechat na někom zkušenějším.