[Ara]

banna ipnummret i 1h efter 3gånger

[SimonP]

Jag kör med 1 tim kontolåsning vid 5 felaktiga försök. Det är relativt enkelt att använda olika IP-nr via proxy, så om man enbart blockerar IP:et kan dom försöka tusentals gånger på samma konto. Att kombinera kontolåsning med IP-ban är ju säkrast men det kanske även blir overkill, allt beror på vilken sorts tjänst det handlar om.

[Ciffan]

Eller varför inte använda 3-4 riktiga ord - de blir väl inte mindre säkra än alla dessa konstiga kombinationer. Använder man bara tillräckligt många ord och inte alla följer samma formel så lär det ta tid med ordliste-knäckning

Katten-springer-fort, Ner-faller-huset-nu, Huset-springer-kallt
Borde gå att fixa ett skript som slumpar, subjekt, predikat etc - visst det kan bli lite lustiga kombinationer men de går att komma ihåg

[tartareandesire]

Citat:

Ursprungligen postat av Ciffan

Eller varför inte använda 3-4 riktiga ord - de blir väl inte mindre säkra än alla dessa konstiga kombinationer. Använder man bara tillräckligt många ord och inte alla följer samma formel så lär det ta tid med ordliste-knäckning

Katten-springer-fort, Ner-faller-huset-nu, Huset-springer-kallt
Borde gå att fixa ett skript som slumpar, subjekt, predikat etc - visst det kan bli lite lustiga kombinationer men de går att komma ihåg

Du kommer fortfarande inte ifrån problemet. Det har ingen betydelse om lösenordet i sig går att komma ihåg. Användaren vill normalt sett använda ett lösenord som han / hon redan använder på andra ställen. Långt ifrån alla sparar inloggningarna i webbläsaren.

En annan viktig metod för att slippa användarbortfall är att ha en "kom ihåg mig"-funktion.

[jonny]

Varför inte göra så att du efter tre försök skickar ut ett mail till registrerad kontoadress med två länkar i. Den första länken tar bort blockeringen - som blockerar kontot - inte ip-adressen. Den andra länken tar bort blockeringen och skickar ut lösenordet/generar ett nytt lösenord.

[Jim_Westergren]

Tack för feedback.

Jag gjorde som så att jag gav dem ett ytterliggare försök, gjorde det tydligare hur de ska få nytt lösenord och framför allt har jag gjort att när man väl blir blockerad så skickas det ett speciellt mail med instruktioner till den e-post som är kopplat till kontot. Detta görs dock endast en gång. Även gjort instruktionerna tydligare.

Citat:

Ursprungligen postat av tartareandesire

En annan viktig metod för att slippa användarbortfall är att ha en "kom ihåg mig"-funktion.

Jo det har jag automatiskt 20 dagar.

[Jine]

Tidsbegränsa det, sen om det är 3 eller 10 försök spelar mindre roll

[StefanBergfeldt]

Jag tror att det stora problemet är att användare inte tänker som vi.
Vem är det du vill stoppa, är det en klanting användare som har sju olika lösenord att välja mellan, eller är det intrångsförsök?

Om vi räknar på att alla lösenord bara innehåller siffror (det är så lätt när det finns 10) och att du kräver fyra tecken i dina lösenord, så finns det 10 000 kombinationer. Statistiskt sett krävs hälften innan du prickat rätt, dvs 5000 försök.

Om du säger att man måste vänta en sekund mellan varje inloggningsförsök betyder det att det tar lite över en timme att träffa rätt. Ökar du till fem sekunder efter 5 misslyckade försök, och 10 sekunder efter 10 misslyckade försök så kommer det ta en evighet.

[patrikweb]

3 är extremt förlite försök, även jag som vet mitt lösenord till 100% så är 3 försök förlite.

Just för att man kan skriva fel, dåligt tbord som inte alltid registrerar alla inmatningar etc etc.

Jag kan lätt komma upp i 10 försök även fast jag vet vad lösenordet är, men största orsaken är det det är så starkt lösenord och tbord som inte är 100% alltid.