1. дома
  2. Вопрос и ответ
  3. Что важно для регистрации неудачных попыток аутентификации?

Что важно для регистрации неудачных попыток аутентификации?

2009-08-28 5 views
0

Я работаю над системой аутентификации для онлайн-игры, запрограммированной с использованием PHP, и я хотел бы убедиться, что она безопасна. Чтобы помочь в этом, я думаю, что регистрация была бы полезна (и хорошая практика для меня, а также хороший тест для класса регистрации системы). Я не хочу использовать журналы веб-сервера, но я хотел бы знать, что было бы важно для регистрации неудачных попыток аутентификации.Что важно для регистрации неудачных попыток аутентификации?

Я размышлял о некоторых вариантах, но я не хочу пропустить что-либо важное. Ниже приведен список того, что я рассмотрел до сих пор.

  1. Ничто (может быть, это не бессмысленно?)
  2. полная страница URL
  3. имя пользователя попытка
  4. IP адрес

  5. время/дата

    Какие вещи вы предлагаете, чтобы убедиться, журнал?

источник

2009-08-28 Joshua K

ответ

2

Во-первых, какие проблемы возникают у вас на уме?

Вы пытаетесь найти недостатки в своем программном обеспечении?

  • Имя пользователя, полный URL страницы, дату/время

Обеспокоенные взлома?

  • IP-адрес, имя пользователя, время/дата

Просто стараюсь есть места на жестком диске сервера.

  • Имя пользователя, полный адрес страницы, IP-адрес, дату/время

:)

источник

2009-08-28 04:45:08

+0

Я нахожу этот ответ наиболее полным, потому что он ожидает различные сценарии. Спасибо! –

0

Попытка ввода пароля. Referrer if any (хотя по соображениям безопасности это, вероятно, не очень помогает).

источник

2009-08-28 04:43:54

+4

Я не считаю, что хорошо пользователям хранить пароль. Например. кто-то случайно вводит свой почтовый пароль. И поскольку у вас также есть свой адрес электронной почты, это будет непросто злоупотреблять. –

+0

Я согласен с Питером. Я не верю, что в настоящее время у меня есть настоятельная потребность в сохранении пароля. Я не верю, что это дало бы какие-либо подсказки для нарушения или неправильного использования системы. –

+0

Это было бы, если бы пароль был «0x1de», а неудачная попытка была «оксида» - это явно не взлом, просто пользователь, который забыл свои правила перебора пароля. – paxdiablo

0

"и я хотел бы, чтобы убедиться, что это безопасно."

Никакой объем ведения журнала не сделает вашу систему более безопасной.

Однако, если ваша причина заключается в сборе статистики при неудачных попытках и поиске возможных проблемных областей (так что вы можете, например, запретить IP-адреса или учетные записи или идентифицировать пользователей с очень плохой памятью), я бы выбрал регистрацию дату, время, имя пользователя, IP-адрес и пароль.

IP-адрес не так полезен, как вы думаете из-за DHCP, NAT'ing и т. Д., Но он все равно может быть умеренно полезным.

Ничего из этого не будет Предотвратите взломы, поскольку успешный взлом будет иметь реальный пароль в любом случае (от социальной инженерии или кейлоггеров).

Раньше у нас была небольшая забава на крупной телекоммуникационной компании, чьи инженерные инженеры вошли в систему, чтобы получить рабочую нагрузку в течение следующих нескольких часов.

Мы увидим, что они подключаются и пароль ошибочны, а затем просматривают свой реальный пароль в LDAP и дают им вызов по мобильному телефону. «Извините меня, Боб, но у вас, похоже, возникают проблемы с входом. Вы должны использовать« восьмерик »в качестве своего пароля, а не« шестиугольник ».

То испещренные им, из ни конца и, очевидно, наши рабочие места были не слишком напряженными в тот момент :-)

источник

2009-08-28 04:58:00 paxdiablo

+0

Вы правы, и я понимаю разницу между наличием замка на двери и наличием камеры на той же двери. Я ищу эту виртуальную камеру, чтобы помочь найти подсказки для «возможных проблемных областей». Спасибо за информацию и ответ. –

Смежные вопросы

 Смежные вопросы