Есть ли смысл дополнительной защиты входа в аккаунт?
1. Таймаут
Блокировать попытки входа: Блокировать на определенное время при неправильном вводе более N раз?
2. Капча
Нужна ли капча вообще? (варианты простая и нереально ненормальная с выбором неадекватных для логики картинок)
3. Корпоративный режим
Повысит ли безопасность внутреннего или внешнего backend доступа если:
Автоматически менять пароль на каждый день для всех пользователей организации (попутно маршрутизацию до стартового каталога, возможно полностью весь адрес)? © Xs@vier runet.ru 2006
4. Что делать с SuperU?
Блок при первой неверной попытке доступа и отсылка на почту сообщения. Стоит ли все административные аккаунты при этом переводить в состояние отключены?
Спасибо всем за общение, вопрос был создан под вопросом стоит ли, но дискуссия "вылилась" о защите соединения. Было интересно. Вопрос открыт. С удовольствием разберу с вами все возможные варианты защиты, даже без тематики текущих, описанных выше вопросов.
сейчас модно двухфакторную авторизацию делать.
Че ты там защищать собрался? Ты директор банка? Или министр обороны?
Накуй он кому нужен, твой аккаунт.
По пунктам
1. Таймуат - защита от перебора пароля, сильно не спасет т. к. есть прокси
2. Капча - это защита от ботов, не будет капчи - я легко напишу бота, который заспаминут твою форму и будет перебирать пароли. Google капча, конечно, часто бесит, но она анализирует человека и не всегда может ему показываться, второе ее очень сложно взломать
3. Это просто дополнительная безопасность, на случай если какой то из паролей был скомпрометирован, ничего, конечно, не гарантирует
4. Не стоит, можно забыть переключить язык, забыть пароль и т. д. и т. п.
Если очень хочется защиться, то да двухфакторная авторизация хороший вариант ( с отправкой смс кода)