[Jim_Westergren]

I mitt projekt där jag erbjuder gratis hemsidor så loggar jag alla misslyckade inloggningar och deras IP. För varje gång så står det en stor varning i röd text och att de kommer att få sitt IP blockerat om de fortsätter och hur många försök de har kvar. Efter 3 misslyckade försök ger jag ett sista försök att få ett nytt lösenord genom att de ska skriva in sin rätta e-post. Detta står också i stor röd text.

Trots att det finns en tydlig länk att klicka på och skriva in en e-post om de har glömt sitt lösenord så verkar vissa strunta i detta, gissar fel lösenord 3 gånger och sedan även skriver in fel e-post på sista försöket och får sedan sitt IP blockerat. Sedan letar de rätt på en av mina kontaktformulär på en av mina andra sidor och gnäller hur de inte kan logga in och jag måste då ta reda på deras IP och ta bort blockeringen. Detta händer flera gånger i veckan.

Är jag för strikt och borde jag ge fler försök? Men jag vill ju inte att folk ska sitta och gissa sig till rätt lösenord på sin kompis hemsida ...

Kanske ska jag alltid erbjuda att skriva in e-post och få nytt lösenord även om man är blockerad? Om det är en annan ägare så kan han ju bara radera det e-post som kommer om det inte var han som efterfrågade det.

Hur gör ni? På blogg.se verkar man kunna gissa hur många gånger som helst - det kan ju inte vara bra ...

[msjoedin]

Jag tycker inte att du är för strikt. Det är ju för deras eget bästa. Önskar att det fanns något annat system att authenticera användarna än lösenord. Kanske du skall vara ännu tydligare i den sista varningstexten innan du blockar IP't? Skriva att de skall använda återställningsrutinen i stället.

[najk]

3 gånger är lite för kort tycker jag nog, kanske spärra dom först efter 10 försök och lägg en stor länk "maila mig en återställningslänk" efter 3 gånger? Och ja det låter väl bra att trots blockerat ip kunna begära inloggningsuppgifter och en länk till en avblockeringssida.

[BarateaU]

Vissa sidor kör med att man får mail vid varje misslyckat inloggningsförsök.
Det är störigt när man själv skriver fel, men de är ju skit bakom spakarna då.

Men uppskattar att de kommer mail om att någon försökt logga in på mitt konto om så skulle vara fallet.

[Jim_Westergren]

10 gånger tror jag är alldeles för mycket. Vissa kan ju lätt byta IP bara genom att starta om sin router och får då 10 nya försök.

Rutinen för återställning via e-post ska nog alltid vara tillgänglig och kanske höja till 5 försök.

Eller kanske höja antal försök men även kräva rätt e-post på samma gång? Då får jag offra en del användarvänlighet och enkelhet. Men e-post är rätt lätt att finna ut.

[allstars]

Att höja till fem försök är värt att prova, tycker jag, och samtidigt visa info om återställande av lösen redan efter första misslyckat inloggningsförsök.

[tartareandesire]

3 eller 10 försök gör ingen större skillnad. Det bör ju bara vara automatiserade attacker du är orolig för. I annat fall så är det ju användaren som gjort något galet. Återställning är ett måste om man vill slippa en massa onödigt arbete vilket du nog insett nu Är det krångligt och kontot inte är särskilt viktigt så struntar man i det och gör något annat istället. Är det viktigt så får du arbeta. Båda fallen missgynnar dig.

Sedan måste givetvis säkerheten också vara proportionell mot risk och känslighet.

[Bjorne]

Ja du är för strikt. Jag har använt mig av ett system där lösenordet är en systemgenererad bokstavskombiation typ aELqRwyV som skickas till användaren mailadress. Säkrare än att låta användren själv välja lösenord för de väljer alltid alldeles för osäkra. Plus att användaren förstår att emailet med lösenordet är "ett viktigt dokument" och sparar det.

[tartareandesire]

Citat:

Ursprungligen postat av Bjorne

Ja du är för strikt. Jag har använt mig av ett system där lösenordet är en systemgenererad bokstavskombiation typ aELqRwyV som skickas till användaren mailadress. Säkrare än att låta användren själv välja lösenord för de väljer alltid alldeles för osäkra. Plus att användaren förstår att emailet med lösenordet är "ett viktigt dokument" och sparar det.

Det är inget användarvänligt system alls. Din inloggning är bara 1 av 100 för många användare och de vill ha ett lösenord de kommer ihåg, annars försvinner många såvida du inte har en extremt bra tjänst. Lösenordet är till största delen användarens ansvar och inte ditt. Bättre är i så fall att sätta upp regler för hur lösenordet ska se ut eller helt enkelt bara ge tips och varna om lösenordet inte är säkert.

[Bjorne]

Citat:

Ursprungligen postat av tartareandesire

Det är inget användarvänligt system alls. Din inloggning är bara 1 av 100 för många användare och de vill ha ett lösenord de kommer ihåg, annars försvinner många såvida du inte har en extremt bra tjänst. Lösenordet är till största delen användarens ansvar och inte ditt. Bättre är i så fall att sätta upp regler för hur lösenordet ska se ut eller helt enkelt bara ge tips och varna om lösenordet inte är säkert.

Jag håller inte med om att det enbart är användarens ansvar. Blir något konto crackat får jag som tillhandahåller tjänsten skit även ifall användaren har valt sitt förnamn som lösenord eller något annat lika dumt. Sätter man upp regler riskerar man att ens egna regler är inkompatibla med andra siter. Exempelvis kanske en site kräver att lösenordet ska innehålla två små bokstäver, två stora, två siffror och två specialtecken. Medans en annan site har ungefär samma krav fast kan inte hantera specialtecken i lösenordet. Då måste användaren ändå lära sig ett nytt lösenord eftersom "abE 1R9/+" inte funkar på alla siter.

Tror därför det är en bättre kompromiss att bara använda systemgenererade lösenord. Det är inte så svårt att få användaren att spara ett mail och har man en bra mailklient typ gmails interface tar det inte många sekunder att hitta mailet.