Suivre les tentatives infructueuses de connexion pour le verrouillage d'ID

1) Un écran de connexion typique d'une application, ID verrouillé pour des mots de passe erronés lorsque plus de trois tentatives.Suivre les tentatives infructueuses de connexion pour le verrouillage d'ID

2) La tentative ne peut pas être stockée en session, car l'utilisateur peut utiliser plusieurs navigateurs dans une machine identique ou différente.

3) Je ne veux pas conserver le nombre dans la base de données car il faudrait le réinitialiser après 24 heures environ.

Quelle est la meilleure façon de faire cela?

Source

2010-01-29 frappuccino

Quelle plateforme? .NET? Java? Quel genre d'application? Bureau? Web? –

Vous pouvez conserver la date de la dernière connexion correcte, la date de la dernière connexion incorrecte et le nombre de connexions incorrectes dans une rangée. Le "verrou" se produirait automatiquement si le nombre dépasse 3 et que la dernière erreur de connexion a eu lieu au cours des X dernières minutes. De cette façon, vous n'avez pas besoin de réinitialiser quoi que ce soit juste pour comparer les dates;)

Source

2010-01-29 18:59:40

Je vais aller avec ça. Merci Thomas. – frappuccino

Vous voudrez probablement utiliser l'adresse IP pour suivre les tentatives de connexion incorrectes.

Si vous cherchez à voir si quelqu'un tente de forcer un mot de passe, utilisez IP.

Si vous essayez de verrouiller les utilisateurs qui ont oublié leur mot de passe, faites-le par nom d'utilisateur.

Source

2010-01-29 18:58:44

Alors que je vois votre raisonnement, de telles tentatives de force brute sont généralement facilitées par des attaques distribuées, et le suivi IP peut ne pas s'avérer aussi utile ici. – Dan

Suivre les tentatives infructueuses de connexion pour le verrouillage d'ID

Répondre

Questions connexes