Stránka 5 z 5
Re: Je ten PIN bezpecny?
Napsal: úte 13. srp 2013 18:01:55
od noneis
xsouku04 píše:...
Tak motivace je dnes určitě nízká, a jakmile bude možnost volitelného hesla (a pro nové účty výchozí typ hesla), tak tahle potenciální možnost postupně vymizí.
Po zprovoznění volby vlastního hesla by bylo dobré někde viditelně po přihlášení dát upozornění ve stylu "zvyšte zabezpečení svého účtu a zvolte si vlastní přístupové heslo" s odkazem, aby na tuto formu přihlašování přešlo co nejvíce
aktivních účtů.
JPT píše:Někdo tu myslim psal, že neoprávněné přihlášení nebo špatné pokusy se dají zjistit v přehledu přihlášení, ale pokud to třeba někdo neví a nebo to pořád nekontroluje a přihlašuje se třeba 1x za měsíc, tak by se mohlo přidat zabezpečení, že po nějakém počtu neplatných pokusů by se přístup zablokoval a odeslalo by se oznámení na mejl. A taky bych asi zrušil možnost se přihlásit nešifrovaně (teda pokud to neni kvůli něčemu vyloženě potřeba).
Hlavně po stisknutí enteru je výchozí nezabezpečené přihlášení, to by se mohlo změnit.
Co se týče počtu pokusů na účet, tak jsem myslím někde viděl, že je to 6 pokusů za 10 minut a 10 za 24 hodin.
Re: Je ten PIN bezpecny?
Napsal: úte 13. srp 2013 22:07:01
od xsouku04
JPT píše:Někdo tu myslim psal, že neoprávněné přihlášení nebo špatné pokusy se dají zjistit v přehledu přihlášení, ale pokud to třeba někdo neví a nebo to pořád nekontroluje a přihlašuje se třeba 1x za měsíc, tak by se mohlo přidat zabezpečení, že po nějakém počtu neplatných pokusů by se přístup zablokoval a odeslalo by se oznámení na mejl. A taky bych asi zrušil možnost se přihlásit nešifrovaně (teda pokud to neni kvůli něčemu vyloženě potřeba).
To je výborný nápad.
Re: Je ten PIN bezpecny?
Napsal: stř 14. srp 2013 9:27:48
od Largon
Dočasné zablokování účtu po několika špatných pokusech i informování uživatele o této skutečnosti emailem už je nějaký ten pátek implementováno.
Re: Je ten PIN bezpecny?
Napsal: stř 14. srp 2013 9:58:18
od luky
Re: Je ten PIN bezpecny?
Napsal: stř 14. srp 2013 11:18:32
od Largon
Což dokládá přesně to, co už bylo řečeno zde i v podobných vláknech v minulosti. Tito útočníci se především zaměřují na konkrétní technologii a teprve potom hledají oběti - v tom linkovaném případě je vidět, že znají cestičky jak se dostat do Wordpressu, u nás spíš řešíme občas problémy s tím, že se dostanou někomu na nezabezpečené koncové zařízení na veřejné IP adrese.
Čímž teda nechci říct, že bychom brali bezpečnost na lehkou váhu a mysleli si, že náš systém je nenapadnutelný. On je ostatně prakticky každý systém napadnutelný, je to jen o tom, jaké prostředky je schopen/ochoten útočník na to věnovat. Ale zrovna tady v tomto případě si myslím, že i naše čtyřmístná hesla s aktivní ochranou proti bruteforce útoku jsou lepší, než dvanáctimístné heslo k administrátorskému účtu Wordpressu, který vás nechá udělat 3500 pokusů.