Omezení pokusů pro přístup

Omezení pokusů pro přístup
« kdy: 22. 07. 2021, 20:01:13 »
Ahoj, je nejaky vypocet anebo pravidlo pro to kdy je dobre zablokovat pristup po spatnych x pokusech o zadani kodu/hesla apod. ? Např 3 pokusy pro zadani pinu nekde apod ? Diky
« Poslední změna: 22. 07. 2021, 21:07:36 od Petr Krčmář »


Re:Omezení pokusů pro přístup
« Odpověď #1 kdy: 22. 07. 2021, 21:45:05 »
No, já mám běžně nastaveno po 3 pokusech blokace 5 minut, někde jsem musel povolit 5 špatných/5minut. Obecně to je asi rozumný kompromis, pokud někdo vyloženě hádá hesla.

mark42

  • ***
  • 112
    • Zobrazit profil
    • E-mail
Re:Omezení pokusů pro přístup
« Odpověď #2 kdy: 23. 07. 2021, 12:54:44 »
Zalezi od niekolkych faktorov:
- hodnota toho, co chranis (za PINom moze byt bankove konto alebo kolobezka)
- komplexita hesla - napr. bankovy PIN ma typicky 4 cisla, heslo do PC moze mat napr. min. 10 znakov.
- pozadovana doba ochrany - t.j. ako dlho by utocnikovi malo trvat, kym heslo uhadne
- extra podmienky (napr. ci je povolene po N pokusoch ten PIN zablokovat natrvalo, ci mas nejaky PUK alebo iny proces, ktorym si vies PIN odomknut, alebo ci blokovanie pristupu nemoze skoncit ako Denial of Service utok)
Je tam prilis vela premennych na to, aby sa z toho dala urobit nejaka formulka.

Re:Omezení pokusů pro přístup
« Odpověď #3 kdy: 23. 07. 2021, 14:49:43 »
Výpočet ani pravidlo není. Musí se to brát podle toho, co je účelem. Účelem omezení pokusů o přístup je to, aby nešlo přístupové údaje uhodnout hrubou silou, a zároveň aby se oprávněný uživatel dokázal přihlásit, když potřebuje. Takže záleží na spoustě okolností, třeba na tom, jak silná se používají hesla. Pokud to bude 4místný PIN, stačí těch pokusů hrozně málo a i omezení 3 chybné pokusy → blokace na 5 minut znamená, že útočník nejpozději za dva týdny PIN získá. Nebo-li s tím nevystačíte. Naopak pokud s jistotou víte, že uživatelé mohou mít jenom silná hesla, nemusíte blokování dělat vůbec.
Nebo-li počítejte s tím, jak máte silná hesla, jaké má oprávněný uživatel alternativy přihlášení (PUK, zaslání obnovovacího kódu e-mailem), jaké jsou jiné možnosti automatického hádání (např. po 2. špatném pokusu zapnout pro uživatele CAPTCHA). Na straně útočníka naopak počítejte s tím, že může hesla zkoušet z mnoha míst zároveň a také že po blokaci nezačíná znova od začátku, ale pokračuje tam, kde skončil.

Re:Omezení pokusů pro přístup
« Odpověď #4 kdy: 23. 07. 2021, 15:17:22 »
Neexistuje na to vzorec. Úplně jinak asi budete chránit přístup v televizoru na sledování porna, jinak budete chránit lokální účet na PC za firewallem, jinak přístup do fóra na root.cz a jinak do banky.

Vždy je to o manažerském rozhodnutí: co chráním, jaká ztráta plyne z neoprávněného přístupu a jaká ztráta plyne ze zbytečně odepřeného přístupu. V takovém rozhodování není objektivní měřítko.

Dovolím si ale tvrdit, že kdo toto nechápe (a položí takový dotaz), by to neměl rozhodovat a měl by to přenechat na někom zkušenějším.