Säkerhetsfråga med lösenord, är jag för strikt?
 

I mitt projekt där jag erbjuder gratis hemsidor så loggar jag alla misslyckade inloggningar och deras IP. För varje gång så står det en stor varning i röd text och att de kommer att få sitt IP blockerat om de fortsätter och hur många försök de har kvar. Efter 3 misslyckade försök ger jag ett sista försök att få ett nytt lösenord genom att de ska skriva in sin rätta e-post. Detta står också i stor röd text.

Trots att det finns en tydlig länk att klicka på och skriva in en e-post om de har glömt sitt lösenord så verkar vissa strunta i detta, gissar fel lösenord 3 gånger och sedan även skriver in fel e-post på sista försöket och får sedan sitt IP blockerat. Sedan letar de rätt på en av mina kontaktformulär på en av mina andra sidor och gnäller hur de inte kan logga in och jag måste då ta reda på deras IP och ta bort blockeringen. Detta händer flera gånger i veckan.

Är jag för strikt och borde jag ge fler försök? Men jag vill ju inte att folk ska sitta och gissa sig till rätt lösenord på sin kompis hemsida ...

Kanske ska jag alltid erbjuda att skriva in e-post och få nytt lösenord även om man är blockerad? Om det är en annan ägare så kan han ju bara radera det e-post som kommer om det inte var han som efterfrågade det.

Hur gör ni? På blogg.se verkar man kunna gissa hur många gånger som helst - det kan ju inte vara bra ...

Jag tycker inte att du är för strikt. Det är ju för deras eget bästa. Önskar att det fanns något annat system att authenticera användarna än lösenord. Kanske du skall vara ännu tydligare i den sista varningstexten innan du blockar IP't? Skriva att de skall använda återställningsrutinen i stället.

3 gånger är lite för kort tycker jag nog, kanske spärra dom först efter 10 försök och lägg en stor länk "maila mig en återställningslänk" efter 3 gånger? Och ja det låter väl bra att trots blockerat ip kunna begära inloggningsuppgifter och en länk till en avblockeringssida.

Vissa sidor kör med att man får mail vid varje misslyckat inloggningsförsök.
Det är störigt när man själv skriver fel, men de är ju skit bakom spakarna då.

Men uppskattar att de kommer mail om att någon försökt logga in på mitt konto om så skulle vara fallet.

10 gånger tror jag är alldeles för mycket. Vissa kan ju lätt byta IP bara genom att starta om sin router och får då 10 nya försök.

Rutinen för återställning via e-post ska nog alltid vara tillgänglig och kanske höja till 5 försök.

Eller kanske höja antal försök men även kräva rätt e-post på samma gång? Då får jag offra en del användarvänlighet och enkelhet. Men e-post är rätt lätt att finna ut.

Att höja till fem försök är värt att prova, tycker jag, och samtidigt visa info om återställande av lösen redan efter första misslyckat inloggningsförsök.

3 eller 10 försök gör ingen större skillnad. Det bör ju bara vara automatiserade attacker du är orolig för. I annat fall så är det ju användaren som gjort något galet. Återställning är ett måste om man vill slippa en massa onödigt arbete vilket du nog insett nu :) Är det krångligt och kontot inte är särskilt viktigt så struntar man i det och gör något annat istället. Är det viktigt så får du arbeta. Båda fallen missgynnar dig.

Sedan måste givetvis säkerheten också vara proportionell mot risk och känslighet.

banna ipnummret i 1h efter 3gånger

Ja du är för strikt. Jag har använt mig av ett system där lösenordet är en systemgenererad bokstavskombiation typ aELqRwyV som skickas till användaren mailadress. Säkrare än att låta användren själv välja lösenord för de väljer alltid alldeles för osäkra. Plus att användaren förstår att emailet med lösenordet är "ett viktigt dokument" och sparar det.

Jag kör med 1 tim kontolåsning vid 5 felaktiga försök. Det är relativt enkelt att använda olika IP-nr via proxy, så om man enbart blockerar IP:et kan dom försöka tusentals gånger på samma konto. Att kombinera kontolåsning med IP-ban är ju säkrast men det kanske även blir overkill, allt beror på vilken sorts tjänst det handlar om.

Det är inget användarvänligt system alls. Din inloggning är bara 1 av 100 för många användare och de vill ha ett lösenord de kommer ihåg, annars försvinner många såvida du inte har en extremt bra tjänst. Lösenordet är till största delen användarens ansvar och inte ditt. Bättre är i så fall att sätta upp regler för hur lösenordet ska se ut eller helt enkelt bara ge tips och varna om lösenordet inte är säkert.

Eller varför inte använda 3-4 riktiga ord - de blir väl inte mindre säkra än alla dessa konstiga kombinationer. Använder man bara tillräckligt många ord och inte alla följer samma formel så lär det ta tid med ordliste-knäckning

Katten-springer-fort, Ner-faller-huset-nu, Huset-springer-kallt
Borde gå att fixa ett skript som slumpar, subjekt, predikat etc - visst det kan bli lite lustiga kombinationer men de går att komma ihåg

Du kommer fortfarande inte ifrån problemet. Det har ingen betydelse om lösenordet i sig går att komma ihåg. Användaren vill normalt sett använda ett lösenord som han / hon redan använder på andra ställen. Långt ifrån alla sparar inloggningarna i webbläsaren.

En annan viktig metod för att slippa användarbortfall är att ha en "kom ihåg mig"-funktion.

Varför inte göra så att du efter tre försök skickar ut ett mail till registrerad kontoadress med två länkar i. Den första länken tar bort blockeringen - som blockerar kontot - inte ip-adressen. Den andra länken tar bort blockeringen och skickar ut lösenordet/generar ett nytt lösenord.

Jag håller inte med om att det enbart är användarens ansvar. Blir något konto crackat får jag som tillhandahåller tjänsten skit även ifall användaren har valt sitt förnamn som lösenord eller något annat lika dumt. Sätter man upp regler riskerar man att ens egna regler är inkompatibla med andra siter. Exempelvis kanske en site kräver att lösenordet ska innehålla två små bokstäver, två stora, två siffror och två specialtecken. Medans en annan site har ungefär samma krav fast kan inte hantera specialtecken i lösenordet. Då måste användaren ändå lära sig ett nytt lösenord eftersom "abE 1R9/+" inte funkar på alla siter.

Tror därför det är en bättre kompromiss att bara använda systemgenererade lösenord. Det är inte så svårt att få användaren att spara ett mail och har man en bra mailklient typ gmails interface tar det inte många sekunder att hitta mailet.

Tack för feedback.

Jag gjorde som så att jag gav dem ett ytterliggare försök, gjorde det tydligare hur de ska få nytt lösenord och framför allt har jag gjort att när man väl blir blockerad så skickas det ett speciellt mail med instruktioner till den e-post som är kopplat till kontot. Detta görs dock endast en gång. Även gjort instruktionerna tydligare.

Jo det har jag automatiskt 20 dagar.

Tidsbegränsa det, sen om det är 3 eller 10 försök spelar mindre roll

Jag tror att det stora problemet är att användare inte tänker som vi.
Vem är det du vill stoppa, är det en klanting användare som har sju olika lösenord att välja mellan, eller är det intrångsförsök?

Om vi räknar på att alla lösenord bara innehåller siffror (det är så lätt när det finns 10) och att du kräver fyra tecken i dina lösenord, så finns det 10 000 kombinationer. Statistiskt sett krävs hälften innan du prickat rätt, dvs 5000 försök.

Om du säger att man måste vänta en sekund mellan varje inloggningsförsök betyder det att det tar lite över en timme att träffa rätt. Ökar du till fem sekunder efter 5 misslyckade försök, och 10 sekunder efter 10 misslyckade försök så kommer det ta en evighet.

3 är extremt förlite försök, även jag som vet mitt lösenord till 100% så är 3 försök förlite.

Just för att man kan skriva fel, dåligt tbord som inte alltid registrerar alla inmatningar etc etc.

Jag kan lätt komma upp i 10 försök även fast jag vet vad lösenordet är, men största orsaken är det det är så starkt lösenord och tbord som inte är 100% alltid.