我正在为用户创建一个登录名,希望确保该登录名足够友好,同时也能满足与我们合作的大型企业客户的安全标准。是否有关于用户在被锁定并必须重置密码之前应该进行的登录尝试次数的指导方针?
有几种不同的处理方法。
根据应用程序的安全级别,锁定可能是有效的。如果有人试图登录一个帐户3次,然后将其锁定,也可能是拒绝服务。这真的取决于你的网站是什么。如果是一家银行,它可能想要比在线游戏更好的锁定政策。
有两种选择通常会带来更好的结果。一种是登录失败后的指数退避。每次有人登录失败,你就会以指数级的速度让退避时间更长。这很好,因为它不会真正影响错误输入用户名/密码的用户,但它会阻止攻击者使用数百万个用户名/密码组合强行进入。
另一个结果是在多次登录失败后实现captcha。这也允许用户在能够证明自己是人类的情况下仍然可以访问他们的帐户。
不要将用户锁定在web应用程序之外。否则,blackhat只会在每个锁定期后锤击管理员帐户。那么你就永远无法登录。
有关更好的想法,请参阅阻止一段时间内多次登录失败的请求。
但如果你不想这样做,PCI-DSS会说<=6