[Jim_Westergren]

I mitt projekt där jag erbjuder gratis hemsidor så loggar jag alla misslyckade inloggningar och deras IP. För varje gång så står det en stor varning i röd text och att de kommer att få sitt IP blockerat om de fortsätter och hur många försök de har kvar. Efter 3 misslyckade försök ger jag ett sista försök att få ett nytt lösenord genom att de ska skriva in sin rätta e-post. Detta står också i stor röd text.

Trots att det finns en tydlig länk att klicka på och skriva in en e-post om de har glömt sitt lösenord så verkar vissa strunta i detta, gissar fel lösenord 3 gånger och sedan även skriver in fel e-post på sista försöket och får sedan sitt IP blockerat. Sedan letar de rätt på en av mina kontaktformulär på en av mina andra sidor och gnäller hur de inte kan logga in och jag måste då ta reda på deras IP och ta bort blockeringen. Detta händer flera gånger i veckan.

Är jag för strikt och borde jag ge fler försök? Men jag vill ju inte att folk ska sitta och gissa sig till rätt lösenord på sin kompis hemsida ...

Kanske ska jag alltid erbjuda att skriva in e-post och få nytt lösenord även om man är blockerad? Om det är en annan ägare så kan han ju bara radera det e-post som kommer om det inte var han som efterfrågade det.

Hur gör ni? På blogg.se verkar man kunna gissa hur många gånger som helst - det kan ju inte vara bra ...

[msjoedin]

Jag tycker inte att du är för strikt. Det är ju för deras eget bästa. Önskar att det fanns något annat system att authenticera användarna än lösenord. Kanske du skall vara ännu tydligare i den sista varningstexten innan du blockar IP't? Skriva att de skall använda återställningsrutinen i stället.

[najk]

3 gånger är lite för kort tycker jag nog, kanske spärra dom först efter 10 försök och lägg en stor länk "maila mig en återställningslänk" efter 3 gånger? Och ja det låter väl bra att trots blockerat ip kunna begära inloggningsuppgifter och en länk till en avblockeringssida.

[BarateaU]

Vissa sidor kör med att man får mail vid varje misslyckat inloggningsförsök.
Det är störigt när man själv skriver fel, men de är ju skit bakom spakarna då.

Men uppskattar att de kommer mail om att någon försökt logga in på mitt konto om så skulle vara fallet.

[Jim_Westergren]

10 gånger tror jag är alldeles för mycket. Vissa kan ju lätt byta IP bara genom att starta om sin router och får då 10 nya försök.

Rutinen för återställning via e-post ska nog alltid vara tillgänglig och kanske höja till 5 försök.

Eller kanske höja antal försök men även kräva rätt e-post på samma gång? Då får jag offra en del användarvänlighet och enkelhet. Men e-post är rätt lätt att finna ut.

[allstars]

Att höja till fem försök är värt att prova, tycker jag, och samtidigt visa info om återställande av lösen redan efter första misslyckat inloggningsförsök.

[tartareandesire]

3 eller 10 försök gör ingen större skillnad. Det bör ju bara vara automatiserade attacker du är orolig för. I annat fall så är det ju användaren som gjort något galet. Återställning är ett måste om man vill slippa en massa onödigt arbete vilket du nog insett nu Är det krångligt och kontot inte är särskilt viktigt så struntar man i det och gör något annat istället. Är det viktigt så får du arbeta. Båda fallen missgynnar dig.

Sedan måste givetvis säkerheten också vara proportionell mot risk och känslighet.

[Ara]

banna ipnummret i 1h efter 3gånger

[Bjorne]

Ja du är för strikt. Jag har använt mig av ett system där lösenordet är en systemgenererad bokstavskombiation typ aELqRwyV som skickas till användaren mailadress. Säkrare än att låta användren själv välja lösenord för de väljer alltid alldeles för osäkra. Plus att användaren förstår att emailet med lösenordet är "ett viktigt dokument" och sparar det.

[SimonP]

Jag kör med 1 tim kontolåsning vid 5 felaktiga försök. Det är relativt enkelt att använda olika IP-nr via proxy, så om man enbart blockerar IP:et kan dom försöka tusentals gånger på samma konto. Att kombinera kontolåsning med IP-ban är ju säkrast men det kanske även blir overkill, allt beror på vilken sorts tjänst det handlar om.